為了透過手機與人見面,用戶的選擇太多了。但這種對靈魂伴侶的尋找並不一定像人們所相信的那樣完全保密。安全研究人員來自卡巴斯基實驗室檢查了Tinder、Bumble、OK Cupid、Badoo、Mamba、Zoosk、Happn、微信和Paktor 9款約會應用程式的安全等級。結論:沒有一個是完全安全的。
個人資料外洩
有些應用程式可讓您添加超越年齡或名字/暱稱的訊息,這不一定是個好主意。例如,在 Tinder、Happn 和 Bumble 上,您可以指定您的工作和教育程度。。 “在 60% 的情況下,這些資訊足以識別 Facebook 或 LinkedIn 等社交網絡上的用戶,並獲取他們的全名”,研究人員解釋。因此,懷有惡意的人可能會開始騷擾某人,即使他們已被約會應用程式封鎖。
有時不需要交叉核對資訊。當您在 Happn 上查看個人資料時,應用程式會自動接收一個可被攔截且連結到 Facebook 帳戶的識別符號。然後就可以很容易地辨識出這一點。就其本身而言,Paktor 應用程式直接發送所查看個人資料的電子郵件地址。太容易了。
可以定位用戶
大多數應用程式都容易受到地理定位攻擊。事實上,約會應用程式會指示所查看的個人資料所在的距離,但沒有進一步的精確度。但可以向應用程式伺服器發送錯誤座標,從而虛擬地圍繞目標旋轉並定位它。研究人員表示,這些攻擊在 Tinder、Mamba、Zoosk、WeChat 和 Paktor 上尤其有效。
2016 年 7 月,Synacktiv 的研究人員做出了示範黑客之夜之際發生的此類攻擊。他們甚至設法部署了一個虛擬監視代理網絡,一旦目標進入特定區域,他們就能立即收到警報。
連接並不總是安全的
通常,約會應用程式使用 HTTPS 與其伺服器進行通訊。但情況並非總是如此,這會導致資料攔截,例如連接到不安全的公共熱點時。因此,Tinder、Paktor 和 Bumble 透過 HTTP 發送照片。在Android版本的Paktor上,還可以攔截使用者的姓名、出生日期和GPS座標。有了曼巴,情況就更糟了。 iOS 版本透過 HTTP 傳送所有內容。因此,附近的駭客可以即時攔截和修改所有內容。他還可以獲得登入帳戶的憑證。 Zoosk 應用程式中也偵測到了類似的缺陷,但僅限於該應用程式下載照片或影片時。
最後,研究人員報告說,大多數應用程式不會驗證收到的 HTTPS 憑證。因此,它們很容易受到流量攔截和解密攻擊。然而,這種類型的攻擊實施起來更加複雜。駭客不僅必須位於同一網路上,而且還必須讓用戶安裝他們的假證書。在 iOS 上,這幾乎是不可能的。
最終,研究人員建議謹慎使用約會應用程式。最好不要填寫太多信息,避開公共熱點並啟動VPN。
