卡巴斯基實(shí)驗(yàn)室的安全研究人員透露,一些受歡迎的交友軟件容易受到各種攻擊,這將可以泄露個(gè)人用戶的詳細(xì)信息,包括姓名,雇主姓名,甚至他們的住所信息。研究人員在對(duì)受歡迎的交友軟件(Tinder,Bumble,OkCupid,Badoo,Mamba,Zoosk,Happn,WeChat和Paktor)進(jìn)行調(diào)查后,根據(jù)個(gè)人資料中提供的數(shù)據(jù),確定了用戶的真實(shí)身份。
另外通過(guò)了解用戶的雇主,研究領(lǐng)域或他們的學(xué)校,可以找到用戶的社交媒體帳戶,從而知道他們的真實(shí)姓名。
卡巴斯基表示,他們?cè)谄渌缃幻襟w網(wǎng)站上識(shí)別Happn和Paktor用戶的準(zhǔn)確率為100%。Tinder和Bumble的成功率分別下降到60%和50%,這仍然相當(dāng)驚人。上述九個(gè)應(yīng)用程序中的六個(gè)顯示了用戶的某種形式的位置數(shù)據(jù),例如用戶和他們感興趣的人之間的距離。通過(guò)移動(dòng)并記錄兩個(gè)用戶之間的距離數(shù)據(jù),“很容易確定獵物的位置”。
Happn的表現(xiàn)似乎是最糟糕的,能顯示與其他用戶的具體距離數(shù)據(jù)。該應(yīng)用程序甚至顯示了兩個(gè)人擦肩而過(guò)的次數(shù),使其更容易跟蹤某人。
卡巴斯基調(diào)查的大部分應(yīng)用程序都是通過(guò)SSL加密渠道查詢將數(shù)據(jù)傳輸?shù)椒?wù)器,但并不總是如此。在Android版本的Mamba中使用的分析模型不會(huì)加密有關(guān)移動(dòng)設(shè)備的數(shù)據(jù),而iOS版本以一種一個(gè)未加密的方式傳輸消息等所有數(shù)據(jù)。同時(shí),通過(guò)HTTP上傳照片,可以讓攻擊者確定潛在的受害者瀏覽哪些個(gè)人資料。
更糟糕的是,研究人員發(fā)現(xiàn),九個(gè)應(yīng)用程序中有五個(gè)易受“中間人攻擊”,因?yàn)樗鼈儧](méi)有驗(yàn)證證書的真實(shí)性。幾乎所有的應(yīng)用程序通過(guò)Facebook授權(quán),意味著缺乏證書驗(yàn)證可能導(dǎo)致竊取臨時(shí)授權(quán)密鑰??ò退够硎?,這可以讓社會(huì)媒體賬戶數(shù)據(jù)的犯罪訪問(wèn)長(zhǎng)達(dá)三周左右。
Android用戶需要擔(dān)心更多,因?yàn)榫艂€(gè)應(yīng)用程序中有八個(gè)“通過(guò)超級(jí)用戶訪問(wèn)權(quán)限為網(wǎng)絡(luò)犯罪分子提供了太多信息”。在iOS中獲得root訪問(wèn)權(quán)限的惡意軟件很少見(jiàn)。
卡巴斯基表示,其事先向開(kāi)發(fā)人員通報(bào)了其調(diào)查結(jié)果,并補(bǔ)充說(shuō),有些已經(jīng)解決了問(wèn)題,而其他仍在修復(fù)問(wèn)題。