为了通过手机与人见面,用户的选择太多了。但这种对灵魂伴侣的寻找并不一定像人们所相信的那样完全保密。安全研究人员来自卡巴斯基实验室检查了Tinder、Bumble、OK Cupid、Badoo、Mamba、Zoosk、Happn、微信和Paktor 9款约会应用程序的安全级别。结论:没有一个是完全安全的。
个人数据泄露
有些应用程序允许您添加超越年龄或名字/昵称的信息,这不一定是个好主意。例如,在 Tinder、Happn 和 Bumble 上,您可以指定您的工作和教育水平。。 “在 60% 的情况下,这些信息足以识别 Facebook 或 LinkedIn 等社交网络上的用户,并获取他们的全名”,研究人员解释道。因此,怀有恶意的人可能会开始骚扰某人,即使他们已被约会应用程序屏蔽。
有时不需要交叉核对信息。当您在 Happn 上查看个人资料时,应用程序会自动接收一个可被拦截且链接到 Facebook 帐户的标识符号。然后就可以很容易地识别出这一点。就其本身而言,Paktor 应用程序直接发送所查看个人资料的电子邮件地址。太容易了。
可以定位用户
大多数应用程序都容易受到地理定位攻击。事实上,约会应用程序会指示所查看的个人资料所在的距离,但没有进一步的精确度。但可以向应用服务器发送错误坐标,从而虚拟地围绕目标旋转并定位它。研究人员表示,这些攻击在 Tinder、Mamba、Zoosk、WeChat 和 Paktor 上尤其有效。
2016 年 7 月,Synacktiv 的研究人员做出了示范黑客之夜之际发生的此类攻击。他们甚至设法部署了一个虚拟监视代理网络,一旦目标进入特定区域,他们就能立即收到警报。
连接并不总是安全的
通常,约会应用程序使用 HTTPS 与其服务器进行通信。但情况并非总是如此,这会导致数据拦截,例如当连接到不安全的公共热点时。因此,Tinder、Paktor 和 Bumble 通过 HTTP 发送照片。在Android版本的Paktor上,还可以拦截用户的姓名、出生日期和GPS坐标。有了曼巴,情况就更糟了。 iOS 版本通过 HTTP 发送所有内容。因此,附近的黑客可以即时拦截和修改所有内容。他还可以获得登录帐户的凭据。 Zoosk 应用程序中也检测到了类似的缺陷,但仅限于该应用程序下载照片或视频时。
最后,研究人员报告说,大多数应用程序不会验证收到的 HTTPS 证书。因此,它们很容易受到流量拦截和解密攻击。然而,这种类型的攻击实施起来更加复杂。黑客不仅必须位于同一网络上,而且还必须让用户安装他们的假证书。在 iOS 上,这几乎是不可能做到的。
最终,研究人员建议谨慎使用约会应用程序。最好不要填写太多信息,避开公共热点并激活VPN。
