写于 2018-11-24 07:08:00| 无需申请自动送彩金| 彩金
安全研究人员在流行的约会应用程序Tinder中发现的彩金漏洞可能允许黑客查看用户的照片并跟踪他们的行为,包括他们向左或向右滑动某人的行为。应用程序安全测试公司Checkmarx首先确定了该问题,该问题允许攻击者在iOS和Android版本的Tinder中解码彩金签名,以查看用户在查看其他用户的配置文件时采取的操作。根据研究人员的说法,Tinder的大多数方面都使用HTTPS通信协议,该协议创建了一个安全的彩金隧道,允许信息在使用应用程序时在用户的设备和Tinder的服务器之间传输。但是,Tinder上的个人资料照片仍然通过HTTP协议提供,这些协议并不安全。鉴于照片是Tinder体验的主要部分,围绕它们的缺乏安全性似乎令人惊讶。由于Tinder用于请求和显示照片的连接未彩金,因此与用户坐在同一网络上的攻击者可能会拦截这些照片以及包括用户活动在内的其他信息。从本质上讲,缺乏彩金会使Tinder达到所谓的中间人攻击。当威胁行为者能够坐在他们认为正在直接与之通信的个人和服务器之间以便在用户的设备和服务器之间移动时拦截甚至干扰信息时,就会发生这些类型的攻击。利用Tinder中的彩金漏洞的攻击者不仅可以在从Tinder服务器传送照片时劫持照片,还可以在到达用户之前替换这些照片并提供假图像。除了照片,攻击者还可以从Tinder的应用程序接口(API)服务器访问信息,该服务器跟踪用户与配置文件交互的方式。该信息包括用户是否喜欢,不喜欢或超喜欢个人资料的详细信息。由于彩金缺陷,此信息也可用。虽然通过Tinder的API发送的数据包是彩金的,但这些数据包的有效负载大小对于每个操作保持相同的大小,使得它们非常容易预测。这允许攻击者确切地确定用户如何与配置文件交互,而无法直接查看解密的操作。对Tinder的攻击确实有其局限性;它要求攻击者作为受害者连接到同一网络,例如公共Wi-Fi网络。除此之外,攻击本质上是不可检测的,因为它是被动攻击 - 应用程序本身从不被操纵,只是被拦截的信息被拦截。研究人员鼓励Tinder更新其彩金协议并将所有图像转移到安全通信方法以阻止攻击。他们还建议确保所有操作的数据包大小相同,以使他们无法区分可能正在观看的人。 Tinder在发布时没有回复评论请求。

作者:长孙雅贸