您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给史中
发送

4

“朋友印象”被曝可以看到匿名者真实身份,还能否愉快地八卦?

本文作者: 史中 2016-02-17 18:05
导语:你借着匿名掩护所说过的一切,都有可能大白于天下。

春节这几天,你的朋友圈有没有被来自“朋友印象”的邀请刷屏呢?

这个可以匿名评论朋友的神器让很多童鞋愉快地发泄了心中的欲火。在匿名功能的加持下,这片战场交织着吐槽,搅拌着表白,勾兑着八卦,弥漫起让人兴奋的“邪恶”气息。

“朋友印象”被曝可以看到匿名者真实身份,还能否愉快地八卦?

然而,根据安全公司青天科技在漏洞平台乌云上提交的信息,这个App存在一个致命漏洞——匿名的用户信息可以被泄露。也就是说:你借着匿名掩护所说过的一切,都有可能大白于天下。

纳尼?你有没有天地崩坏的感觉?

安全公司启明星辰 VP shotgun 对雷锋网表示,

在使用这个APP的时候发现一个奇怪的现象,当把某个实名用户拉进黑名单以后,对这个实名用户相应的匿名用户发送消息就会失败,利用这个逻辑就可以判断出某个匿名用户的身份。

如果进一步来看的话,这就意味着服务器并没有对用户进行匿名转换,客户端层面是可以读取到用户的实名信息的,青天科技的安全研究员用调试工具进行了测试,果然和猜测相符,能够读取到用户的实名信息。

“朋友印象”被曝可以看到匿名者真实身份,还能否愉快地八卦?

【乌云平台上的漏洞概要】

也就是说,其实用户的实名信息就在App之中,只不过App设计者为这些名字打了码,一般的用户没有办法查看到实名信息。但是,如果采用技术分析工具,却能够在本地手机上做到去匿名化。

其实,从逻辑上来讲这个漏洞并没有那么严重。毕竟一般的用户没有很强的黑客技巧,很难拿到匿名者的信息,从应用体验方面来说并无大碍。

shotgun告诉雷锋网:

泄露用户隐私的漏洞属于中等危害,并不属于最严重的那种,然而,朋友印象这类匿名社交,其主打的核心功能之一就是匿名评论和聊天,因此匿名可读这个问题就会严重很多,可以说是破坏了这个应用的根基。

他还表示,从这个漏洞来看,开发团队在安全架构和设计方面存在较大的缺陷,说不定还会存在其他类型的漏洞。建议开发者进行一次全面的检查。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

编辑

雷锋网编辑,关注科技人文,安全、黑客及芯片。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说