本周二,以色列移动应用信息安全公司Checkmarx的研究人员指出,Tinder仍缺乏基本的HTTPS加密技术。只要与Tinder用户处于相同的WiFi网络中,研究人员就可以查看该用户的任何照片,甚至将其他照片注入到用户的照片流中。
此外,尽管Tinder的其他数据通过HTTPS技术进行了加密,但Checkmark发现,Tinder泄露了足够多的信息,从而让黑客可以识别出加密命令,处于同一WiFi网络的黑客可以很容易地查看用户手机上的每一次滑动操作和匹配。研究人员认为,缺乏保护机制将带来许多问题,包括信息被偷窥,以及可能的敲诈勒索。
Checkmarx应用信息安全研究经理埃利泽·耶伦(Erez Yalon)表示:“我们可以准确模拟用户在屏幕上看到的东西。你知道所有一切:他们在干什么,他们的性取向是什么,以及其他许多信息。”
为了展示Tinder的漏洞,Checkmarx开发了概念验证软件TinderDrift。如果将安装该软件的笔记本电脑连接至Tinder用户所在的WiFi网络,那么软件就可以自动重建整个会话。
TinderDrift利用的最主要漏洞在于,Tinder缺少HTTPS加密机制。该应用通过不受保护的HTTP协议去传输图片,因此网络上的任何人都可以很容易地窃取这些信息。此外,研究人员还使用了额外的技巧,从Tinder已加密的数据中提取信息。
Checkmarx表示,已于11月通知Tinder这个问题,但问题尚未解决。
Tinder发言人在回应中称:“与其他科技公司一样,我们在与恶意黑客的斗争中持续提升自己的防御能力。”他同时指出,Tinder上的个人资料照片是公开的。(但基于这些照片的用户互动,例如滑动和匹配操作并不是。)此外他还表示,网页版Tinder实际上已经实现了HTTPS加密,而该公司计划在更大的范围内应用这项技术。
他表示:“我们也尝试在应用中加密图像。不过,我们不会进一步透露所使用的信息安全工具,或是我们即将部署的优化的细节,以免被黑客攻击。”
过去几年,对所有重视隐私保护的应用和网站来说,HTTPS已成为事实标准。Checkmarx的研究人员表示,尽管加密在某些情况下会增加性能成本,但当代服务器和手机可以轻松处理这些额外开销。耶伦指出:“现在没有任何理由不使用HTTPS。”
Checkmarx表示,为了修复这些漏洞,Tinder不仅应当对照片加密,还应在应用中“填充”其他命令,让每条命令看起来都是同样大小,使这些命令在随机数据流中无法被识别。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
