首页 > 科技 > > 正文
2019-08-11 17:28:44

三人组应用程序公开用户数据 从伦敦到白宫的位置

导读 现在有一个移动应用程序,用于安排三人行和连接的平台也不例外 - 但是当安全性失败时,用户,个人生活和职业可能会面临风险 - 3Fun中发

现在有一个移动应用程序,用于安排三人行和连接的平台也不例外 - 但是当安全性失败时,用户,个人生活和职业可能会面临风险 - 3Fun中发现的数据泄漏突出了一个问题。

3Fun,一个被描述为“好奇的情侣和单身约会”平台的应用程序,是一项18+服务,仅在Android上就有超过100,000个有效安装。3Fun声称可满足全球150万用户的需求。

虽然该应用程序的开发人员说隐私保护已经到位 - 例如通过实施私人相册 - Pen Test Partners的研究人员不同意。

根据渗透测试师Alex Lomas的说法,该服务赢得了“可能是我们见过的任何约会应用程序中最糟糕的安全性”的荣誉。

“隐私火车残骸”不仅暴露了近乎实时的用户位置 - 无论是在家中,在工作中还是在日常通勤中 - 而且还泄露了出生日期,性取向,聊天信息和私人照片即使用户已为后者启用某种形式的隐私。

类似的移动应用程序中的用户数据泄漏,包括Grindr和Romeo,最近也出现了,因为所谓的“三边测量” - 欺骗GPS坐标的能力和滥用'距离我'的功能在应用程序中的区域用户的位置。

研究人员表示,影响3Fun的安全问题远没有那么复杂; 相反,该应用程序只是直接泄漏您的位置。

不需要基于目标的粗略距离进行计算,因为简单地使得接近实时的用户的纬度和经度可用。

虽然用户可以通过设置限制位置暴露,但研究人员表示,此信息通过GET请求发送到3Fun服务器,仅在应用程序本身上进行过滤。

“如果设置了隐私标志,它就隐藏在移动应用界面中,”该公司指出。“过滤是客户端的,因此仍然可以查询API以获取位置数据。”

如下所示,通过查询API可以访问用户的确切位置。团队观看的位置图范围从伦敦整体到总理,10号,唐宁街,以及华盛顿特区,美国最高法院和白宫的所在地。