如果有一款应用程序是我们不希望看到落入黑客手中的,那么它就是 Tinder。交友服务确实积累巨大数据关于它的用户和对话……有时非常亲密。问题:安全研究人员发现了一个缺陷,只需知道您的电话号码就可以访问您的帐户。这是几个月内该应用程序中发现的第二个重大缺陷。
阅读:Tinder:存在安全漏洞,允许您查看所有照片和滑动
Facebook认证受到质疑
在发表的一篇文章中应用安全,我们了解到 Tinder 没有正确保护其连接过程。当客户打开应用程序时,他们可以选择使用 Facebook 帐户或电话号码登录。正是最后一个选项造成了问题。输入号码后,Tinder 就会使用身份识别服务账户套件从 Facebook 链接到社交网络。
然后,用户被重定向到 Accountkit.com,该网站通过请求代币鉴别。问题:Tinder 并未寻求了解此密钥的来源,并且接受任何有效令牌,而没有检查标识符是否与 Tinder 的请求相对应。因此,另一个应用程序(例如手机游戏)提供的令牌可以连接到 Tinder,而应用程序无需意识到任何事情。研究人员指出,通过使用 cookie,黑客很可能捕获了代币与他的受害者相对应,并远程连接到他的 Tinder 帐户,然后勒索他。
https://www.youtube.com/watch?v=tIAxmZt1joY
裂痕充满
根据研究人员的通知,Tinder 和 Facebook 迅速合作,加强了他们的系统并消除了其漏洞。社交网络奖励了该团队 5,000 美元,而约会应用程序则给他们开了一张 1,250 美元的支票。
