如果有一款應用程式是我們不希望看到落入駭客手中的,那麼它就是 Tinder。交友服務確實累積龐大數據關於它的用戶和對話……有時非常親密。問題:安全研究人員發現了一個缺陷,只需知道您的電話號碼就可以存取您的帳戶。這是幾個月內該應用程式中發現的第二個重大缺陷。
Facebook認證受到質疑
在發表的一篇文章中應用程式安全,我們了解到 Tinder 沒有正確保護其連接過程。當客戶打開應用程式時,他們可以選擇使用 Facebook 帳戶或電話號碼登入。正是最後一個選項造成了問題。輸入號碼後,Tinder 就會使用識別服務帳戶套件從 Facebook 連結到社群網路。
然後,用戶被重定向到 Accountkit.com,該網站透過請求代幣鑑別。問題:Tinder 並未尋求了解此密鑰的來源,並且接受任何有效令牌,而沒有檢查標識符是否與 Tinder 的請求相對應。因此,另一個應用程式(例如手機遊戲)提供的令牌可以連接到 Tinder,而應用程式無需意識到任何事情。研究人員指出,透過使用 cookie,駭客很可能捕獲了代幣與他的受害者相對應,並遠端連接到他的 Tinder 帳戶,然後勒索他。
https://www.youtube.com/watch?v=tIAxmZt1joY
裂痕充滿
根據研究人員的通知,Tinder 和 Facebook 迅速合作,加強了他們的系統並消除了其漏洞。社交網路獎勵了該團隊 5,000 美元,而約會應用程式則給他們開了一張 1,250 美元的支票。
