4
春节这几天,你的朋友圈有没有被来自“朋友印象”的邀请刷屏呢?
这个可以匿名评论朋友的神器让很多童鞋愉快地发泄了心中的欲火。在匿名功能的加持下,这片战场交织着吐槽,搅拌着表白,勾兑着八卦,弥漫起让人兴奋的“邪恶”气息。
然而,根据安全公司青天科技在漏洞平台乌云上提交的信息,这个App存在一个致命漏洞——匿名的用户信息可以被泄露。也就是说:你借着匿名掩护所说过的一切,都有可能大白于天下。
纳尼?你有没有天地崩坏的感觉?
安全公司启明星辰 VP shotgun 对雷锋网表示,
在使用这个APP的时候发现一个奇怪的现象,当把某个实名用户拉进黑名单以后,对这个实名用户相应的匿名用户发送消息就会失败,利用这个逻辑就可以判断出某个匿名用户的身份。
如果进一步来看的话,这就意味着服务器并没有对用户进行匿名转换,客户端层面是可以读取到用户的实名信息的,青天科技的安全研究员用调试工具进行了测试,果然和猜测相符,能够读取到用户的实名信息。
【乌云平台上的漏洞概要】
也就是说,其实用户的实名信息就在App之中,只不过App设计者为这些名字打了码,一般的用户没有办法查看到实名信息。但是,如果采用技术分析工具,却能够在本地手机上做到去匿名化。
其实,从逻辑上来讲这个漏洞并没有那么严重。毕竟一般的用户没有很强的黑客技巧,很难拿到匿名者的信息,从应用体验方面来说并无大碍。
shotgun告诉雷锋网:
泄露用户隐私的漏洞属于中等危害,并不属于最严重的那种,然而,朋友印象这类匿名社交,其主打的核心功能之一就是匿名评论和聊天,因此匿名可读这个问题就会严重很多,可以说是破坏了这个应用的根基。
他还表示,从这个漏洞来看,开发团队在安全架构和设计方面存在较大的缺陷,说不定还会存在其他类型的漏洞。建议开发者进行一次全面的检查。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。