卡巴斯基实验室的研究人员发现,常用的约会应用中包含一系列漏洞,这些漏洞可能会对用户造成各种负面影响:从轻松识别出特定用户到不安全的传输数据,甚至泄露用户个人信息。
卡巴斯基实验室的研究人员发现,常用的约会应用中包含一系列漏洞,这些漏洞可能会对用户造成各种负面影响:从轻松识别出特定用户到不安全的传输数据,甚至泄露用户个人信息。通过对9家全球知名服务进行分析,我们发现有些服务采用了非常低级别的数据保护。
约会应用在全球方位内迅速流行。根据最新的报告“危险的关系:所有人都在使用这项在线服务吗?”,平均每三个人当中,就有一个人正在使用在线约会服务。但是,随着这类服务的流行,带来了一个重要的安全问题,原因自然是大多数约会服务都要求用户分享自己的个人信息。考虑到这一点,卡巴斯基实验室研究团队决定对这些应用和服务的安全性进行调查。他们对世界不同地区最受欢迎的约会应用进行了详细分析,寻找可能影响用户现实生活,并将其个人状态从“单身”改为“受害者”的各种漏洞。
研究显示,用户在使用在线约会应用时,面临多种风险。例如可以通过从社交网络个人档案中找出他们的姓名,同时还可以利用地理位置数据找到现实世界中的用户。不仅如此,用户可能会失去自己的账户,或者导致自己的个人数据落入坏人之手。
我们的专家在多个应用中发现了常规的安全风险,这些风险同基于令牌的身份验证手段相关,被约会应用用户新用户注册和登陆过程。令牌是由服务器请求创建的,以便唯一标识用户,并通常要求访问Facebook账户。之后,它提供对用户通用信息的访问,包括用户姓名、用户的电子邮件地址和他们的个人资料图片。通过使用此方法,应用程序将收到所有必需的数据,以使其能够对其服务器上的用户进行身份验证。 然而,根据研究,令牌通常被不安全地存储或使用,所以容易被盗。因此,即使没有登录和密码详细信息,入侵者也能够临时访问受害者的账户。
除了不安全的令牌存储这个漏洞外,用户还可能面临与历史消息相关的安全问题,因为这些消息存储在设备上,可以被入侵者访问。这种攻击特别对安卓设备用户具有威胁性。其中有些用户还在运行过时的软件,设备上包含为修补的漏洞,能够让攻击者获取到设备的root权限。攻击者可以利用这些权限访问隐私信息,包括用户在约会应用程序中的活动(如输入的消息和查看的照片)。
此外,我们还发现在分析的应用中,有六款可通过用户位置确定用户。卡巴斯基实验室还发现数据传输过程中的风险。 虽然大多数应用程序使用SSL(安全套接层协议)来保护与服务器的通信,但有些数据通过HTTP协议发送,并且未加密。这为黑客提供了拦截这些通信的机会,这些通信通常包含个人信息,如用户的位置、访问的个人资料、消息和设备数据等。使用不安全的连接,入侵者还可以控制受害者的账户。
“我们的研究表明,约会应用的用户应该多注意网络安全,因为许多此类服务没有得到针对多种攻击的保护。此外,用户他们的个人资料中分享敏感的个人信息,如他们受教育和工作的场所,使自己面临风险。有了这些信息,入侵者可以轻松地在Facebook和LinkedIn上找到受害者的真实账户。这些服务还提供了被跟踪和骚扰的可能性——攻击者可以骚扰用户并跟踪他们在现实生活中的活动。因此,用户在网上约会时应确保仔细监控他们的隐私、安全和数据保护,”卡巴斯基实验室安全专家Roman Unuchek说。
为避免遭受数据盗窃,卡巴斯基实验室建议用户采取以下措施:
- 避免使用保护较为薄弱的公共Wi-Fi热点,
- 使用VPN连接,确保安全连接,
- 不要分享自己的敏感ID信息,例如受教育信息以及工作场所等,
- 在设备上安装可靠的安全解决方案,例如卡巴斯基安全软件安卓版。
要了解更多有关约会应用的安全漏洞,请阅读Securelist.com上的相关博文。