最新研究表明,热门约会交友应用 Tinder 目前仍缺乏必要的加密技术,确保用户照片、滑动操作和匹配信息的私密性。
本周二,以色列移动应用信息安全公司 Checkmarx 的研究人员指出,Tinder 仍缺乏基本的 HTTPS 加密技术。只要与 Tinder 用户处于相同的 WiFi 网络中,研究人员就可以查看该用户的任何照片,甚至将其他照片注入到用户的照片流中。
此外,尽管 Tinder 的其他数据通过 HTTPS 技术进行了加密,但 Checkmark 发现,Tinder 泄露了足够多的信息,从而让黑客可以识别出加密命令,处于同一 WiFi 网络的黑客可以很容易地查看用户手机上的每一次滑动操作和匹配。研究人员认为,缺乏保护机制将带来许多问题,包括信息被偷窥,以及可能的敲诈勒索。
Checkmarx 应用信息安全研究经理埃利泽·耶伦(Erez Yalon)表示:“我们可以准确模拟用户在屏幕上看到的东西。你知道所有一切:他们在干什么,他们的性取向是什么,以及其他许多信息。”
为了展示 Tinder 的漏洞,Checkmarx 开发了概念验证软件 TinderDrift。如果将安装该软件的笔记本电脑连接至 Tinder 用户所在的 WiFi 网络,那么软件就可以自动重建整个会话。
TinderDrift 利用的最主要漏洞在于,Tinder 缺少 HTTPS 加密机制。该应用通过不受保护的 HTTP 协议去传输图片,因此网络上的任何人都可以很容易地窃取这些信息。此外,研究人员还使用了额外的技巧,从 Tinder 已加密的数据中提取信息。
Checkmarx 表示,已于 11 月通知 Tinder 这个问题,但问题尚未解决。
Tinder 发言人在回应中称:“与其他科技公司一样,我们在与恶意黑客的斗争中持续提升自己的防御能力。”他同时指出,Tinder 上的个人资料照片是公开的。(但基于这些照片的用户互动,例如滑动和匹配操作并不是。)此外他还表示,网页版 Tinder 实际上已经实现了 HTTPS 加密,而该公司计划在更大的范围内应用这项技术。
他表示:“我们也尝试在应用中加密图像。不过,我们不会进一步透露所使用的信息安全工具,或是我们即将部署的优化的细节,以免被黑客攻击。”
过去几年,对所有重视隐私保护的应用和网站来说,HTTPS 已成为事实标准。Checkmarx 的研究人员表示,尽管加密在某些情况下会增加性能成本,但当代服务器和手机可以轻松处理这些额外开销。耶伦指出:“现在没有任何理由不使用 HTTPS。”
Checkmarx 表示,为了修复这些漏洞,Tinder 不仅应当对照片加密,还应在应用中“填充”其他命令,让每条命令看起来都是同样大小,使这些命令在随机数据流中无法被识别。