國外某款火爆的交友軟件被曝出了漏洞，五千萬用戶的配對詳情遭泄露?！罢也坏綄ο笫切∈拢瑐€(gè)人隱私被曝光是大事。”

事件主角就是創(chuàng)辦于2012年，活躍用戶數(shù)已達(dá)五千萬的交友軟件Tinder，“搞事情”的是一家位于以色列的安全公司 Checkmarx，其研究人員發(fā)現(xiàn)盡管 Tinder 通過 HTTPS 技術(shù)對 APP 內(nèi)用戶資料數(shù)據(jù)進(jìn)行了加密，卻無法保證用戶照片、滑動(dòng)操作和匹配信息的私密性。

什么意思呢？

就是雖然個(gè)人信息那一欄的數(shù)據(jù)沒有被泄露，但你設(shè)置的頭像照片，以及今天喜歡了多少了小鮮肉或是美女，和誰進(jìn)行了匹配都會(huì)被知道……

Checkmarx 安全研究主管 Erez Yalon 表示這一漏洞被利用后可掌握所有用戶在 Tinder 的使用軌跡，甚至是個(gè)人性取向等許多私密信息，“我們可以完全模仿用戶在他手機(jī)看到的畫面?！?。

具體來說，只要黑客與正在刷交友軟件的用戶使用同一個(gè)WiFi，就能輕易查看用戶手機(jī)上的每次滑動(dòng)操作和匹配，甚至還能將自己的照片插入配對排序。

此處圍觀群眾發(fā)出半信半疑的噓聲……

Checkmarx 團(tuán)隊(duì)也不是吃素的，“不信？等著瞧。”

于是這票研究人員特地開發(fā)了一款名為“TinderDrift”的軟件，只要接上其他 Tinder 用戶正在使用的 Wi-Fi，就能在電腦上重建用戶使用的情境。利用 Tinder 缺少 HTTPS 加密機(jī)制這一漏洞，TinderDrift可遠(yuǎn)程掌握用戶瀏覽了誰的資料、喜歡了誰、與誰匹配的操作。

另外，即便是在加密模式下，對用戶行為十分有執(zhí)念的研究人員也可以通過識別不同操作指令的字節(jié)（bytes），判斷用戶行為。

比如，在 Tinder 向左滑拒絕對象的動(dòng)作是 278 bytes、向右滑喜歡的動(dòng)作是 374 bytes，如果雙方配對成功的動(dòng)作是 581 bytes。

萬幸的是，黑客利用上述漏洞只能獲取用戶匹配過程中的信息，匹配之后雙方的聊天則無法被獲取。

Checkmarx 安全團(tuán)隊(duì)稱其在 2017 年 11 月告知了 Tinder 存在的安全漏洞問題，但截至目前?Tinder 仍未修復(fù)這項(xiàng)漏洞。

Tinder 的發(fā)言人也做出了回應(yīng)，稱其一直在與黑客博弈，網(wǎng)頁版的 Tinder 有加入 HTTPS 進(jìn)行加密保護(hù)，而隨后也會(huì)對手機(jī) App 進(jìn)行加密。

Checkmarx 的建議是不僅要加入HTTPS加密保護(hù)，更要修補(bǔ)配對過程的指令漏洞，起碼讓每條指令字節(jié)一致。另外在 Tinder 發(fā)布更新版本前，用戶也要謹(jǐn)防泄露自己的交友行為。

黑客往往利用這一漏洞進(jìn)行局域網(wǎng)中間人攻擊，但這種攻擊的必要條件是兩者必須處在同一WiFi環(huán)境下，對攻擊距離有一定限制，所以不必過于擔(dān)心。畢竟隔壁住著黑客，這位黑客還對你的交友十分感興趣的情況也屬少見……

國內(nèi)幾家交友軟件的畫風(fēng)與 Tinder 十分相似，比如某探，某翻，某blu……其是否會(huì)出現(xiàn)這種問題呢？

cc

收藏 海報(bào)分享