来自纽黑文大学网络取证研究和教育小组的一群研究人员最近发现多款流行应用存在漏洞,其中包括了Instagram、Vine和OKCupid等流行应用。对于已在安卓移动设备上安装了这些受影响应用的9.68亿用户而言,这些bug很可能会导致他们的个人敏感信息遭到泄露。
我的同事Chris Brook在Threatpost 上报道了相关事件的进展:研究小组发布了一系列的Youtube视频将大部分bug公诸于众,最终发现产生bug的原因是将用于控制存在漏洞应用的非加密内容保存在服务器上所致。
“对于任何曾使用或将继续使用此类受测应用的用户而言,其各类机密信息甚至有时包括密码在内,都时刻处于被泄露的危险中。”纽黑文大学Tagliatela理工学院计算机科学系助理教授兼cFREG负责人Abe Baggili说道。
据Threatpost报道,Instagram Direct的消息传送功能会泄露用户之间共享的照片,以及以纯文本形式保存在Instagram服务器的以往照片。此外研究人员还发现,只要通过HTTP搜索某些关键词,就能看到在流行的在线约会服务应用- OKCupid上用户之间共享的信息。而一款叫做”ooVoo”的视屏聊天应用基本上也包含了与Instagram Direct应用相同的漏洞。Instagram缺少完全加密的问题在我们以往的卡巴斯基中文博客中有所报道。
而在Tango、Nimbuzz和Kik这三款免费通话和通讯应用中,研究人员也发现可以通过所存在的一些bug来窃取照片、位置信息以及视频。此外,Nimbuzz还被发现所有用户密码均以纯文本形式保存。
由于MeetMe、MessageMe和TextMe均以非加密的纯文本形式发送信息,因此网络攻击者能够对在本地网络运行这些应用的用户通讯进行监视。并且在这些应用中以纯文本形式发送或接收的图片和共享位置点均会被监视。此外,研究人员还能够看到以纯文本形式保存用户登录凭证的TextMe数据库文件。
Grindr、HeyWire、Hike和TextPlus基本上也存在同样的bug。网络攻击者只需使用现有的黑客工具(例如:WireShark),就能轻而易举窃取通讯记录、照片以及共享位置。此外,通过Grindr、HeyWire、Hike和TextPlus发送的照片会以纯文本的形式保留在这些应用的服务器内,并供身份认证使用长达数周时间。
“使用一款叫做HeliumBackup的安卓备份提取工具,就能获取用于TextPlus的安卓备份文件,”一名研究人员说道。”当我们打开后,发现里面自动会存有用户在线活动的屏幕截图。我们并不清楚这些屏幕截图的目的,也不知道为什么会保存在设备内。”
在他们的最终视频中,研究人员调查了哪些应用在其存储内保存了敏感数据。但问题是,TextPlus、Nimbuzz和TextMe均以纯文本的形式保存登录凭证。除此之外,这三款应用加上
MeetMe、SayHi、ooVoo、Kik、Hike、MyChat、WeChat、HeyWire、GroupMe、LINE、Whisper、Vine、Voxer和Words With Friends均以纯文本形式保存所有聊天记录。
“尽管两个人之间通过这些应用传送数据通常被认为是安全的,但我们发现此类的私人通讯还是有可能被他人所窥探,原因在于这些数据并没有经过加密,且原始用户对此毫不知情。” Baggili说道。
研究人员试着联系这些存在问题应用的开发人员,但由于所提供联系方式太过简单和程序化因此根本无法直接联系到开发人员。在一次邮件访谈中,Abe Baggili表示还不知道这些应用的供应商是否已修复他和他的团队所发现的任何bug。
令人惊讶#隐私漏洞归咎于#在数十款流行#安卓应用#缺乏加密
我们曾试图向Instagram确认此事,但公司始终未对这一问题给出正面的回应。
目前尚不清楚这些应用的开发人员是否计划修复在这里所讨论的一些bug。
CNET 网站曾就这一问题与Instagram、Kik和Grindr取得联系。Instagram表示正在对其安卓版应用进行全面的加密修复,从而解决目前所存在的安全问题。Kik则表示正在致力于对用户间共享的照片进行加密,但不会对聊天记录加密,原因是聊天记录独立保存,并且无法在应用之间通过手机访问获取。他们同样还声明此类数据保存方式符合行业标准。而Grindr则仅仅表示会不断关注此类安全报告,如果适合的话会做出一些改变。