据一家安全公司称,Tinder用户下载的图片可能会被偷窥者看到,用户是否会在图片上左右滑动。
这些漏洞是由应用安全测试公司Checkmarx的研究人员发现的,基于HTTP连接的使用和可预测的HTTPS响应大小,它允许攻击者解码加密签名并查看用户对另一个用户的配置文件采取了什么操作。
Checkmarx的网络安全布道者Amit Ashbel告诉ZDNet:“加密的方法实际上允许攻击者理解加密本身,或者从加密的类型和长度推导出实际使用的数据。”
在应用程序的大多数方面,Tinder使用HTTPS通信协议来安全传输数据。然而,当涉及到用户的个人资料图片时,Tinder仍然使用HTTP协议,这是一种较老的、不太安全的通信协议,Checkmarx的应用安全研究经理Erez Yalon告诉ZDNet,“在2018年,这种协议已经不再合理了”。
Tinder请求下载图片时使用HTTP连接,允许攻击者在与用户相同的网络上——比如公共wi-fi热点——浏览用户的个人资料,查看他们是否在打开和发送消息。攻击者甚至可以通过拦截流量来改变图像。
“它允许用户在一个开放的网络中查看所有发送到设备上和从设备上发出的图像。也允许他们改变。如果他们想做恶意的,他们可以改变图像,他们可以把广告,”亚伦说。
第二个漏洞源于Tinder部署加密的方式,即使使用的是HTTPs。攻击者不仅可以分析来自API服务器的流量,并查看Tinder用户看到的图片,还可以查看他们对配置文件采取了什么行动——他们是否喜欢这些配置文件,是否不喜欢,是否超级喜欢。
研究人员发现,Tinder应用程序的安全漏洞可能会危及用户隐私。
Tinder API根据用户的响应从服务器发送加密的数据包。但这些加密的反应是可预测的,因为每个行动的有效载荷的大小保持不变——关键的长度永远是一个长度,长度为一个不喜欢,超级喜欢和一个长度,允许一个观察攻击者破解行动他们查看用户的配置文件。
参见:网络战争:网络冲突可怕未来的指南
“如果长度是特定的尺寸,我知道是向左滑动,如果是另一个长度,我知道是向右滑动。既然我知道了图像,我就可以精确地推导出受害者喜欢的,不喜欢的,匹配的,或者超匹配的。我们设法,一个接一个地联系,每个签名,他们的确切回应,”Yalon说。
HTTP连接和可预测的HTTPs的组合允许攻击者监视与他们在同一网络上的Tinder用户,而没有人知道他们的隐私正受到威胁。不需要特殊的技术,攻击者只需要有一个数据包嗅探器来查看数据。
亚伦说:“这次攻击完全看不见,因为我们没有采取任何积极的行动。“如果你在一个开放的网络上,你可以这样做,你只需嗅探数据包,就能知道到底发生了什么,而用户没有办法阻止它,甚至不知道它已经发生了。”
研究人员还没有发现使用这种攻击的证据,但是Yalon告诉ZDNet,因为没有办法追踪秘密攻击,“我们不能确定它没有发生”。
Checkmarx在几个月前通知了Tinder这个漏洞,但是这家安全公司已经决定将这项研究公之于众,努力让用户意识到风险,因为还没有发布补丁。
“我们非常重视用户的安全和隐私。我们使用一个工具和系统的网络来保护我们平台的完整性,”Tinder的一位发言人告诉ZDNet。
“和其他所有科技公司一样,我们也在不断提高防御能力,以抵御恶意黑客。例如,我们的桌面和移动网络平台已经加密了个人资料图片,我们也正在努力加密应用体验中的图片,”发言人继续说道。
发言人补充说:“不过,我们不会就我们所使用的特定安全工具或为避免被黑客窃取信息而可能采取的增强措施做进一步的详细说明。”
根据Checkmarx, Tinder应该把所有的图片都移到HTTPS,这样它们就不能在不安全的HTTP连接上被查看。Tinder还被建议确保所有用于响应的包的长度不相同。
他还警告说,仅仅应用加密和HTTPS是不足以确保安全的,因为“你需要考虑如何避免泄露的整个过程”。