- A+
目前有一个与任何需求,服务或爱好相关的移动应用程序,甚至与完全陌生人安排性接触。 然而,与任何在线服务一样,这些应用程序暴露于威胁行为者的利益,这可能会损害一些用户的信息,甚至暴露他们的个人生活方面, 网络应用安全专家说。
其中一个最近的案例是3Fun案例,其开发人员称其为“适合好奇夫妻和单身人士的理想约会应用程序 ”。 根据创作者的数据,这是一项针对18岁以上的服务,目前全球用户超过150万。
虽然3Fun开发人员认为该应用程序具有最佳的隐私保护,例如使用私人相册,但Pen Test Partners的网络应用程序安全专家却声称不同。 该公司进行的一项研究提到,3Fun可能是信息安全方面最差的约会应用程序。
这种隐私失败,除了暴露用户的实时位置(无论他们身在何处)外,还泄露出敏感数据,如出生日期,性取向,应用内对话历史记录和私人照片。
根据Web应用程序安全专家的说法,这种应用程序的用户泄漏位置数据是由于一种称为“三边测量”的技术。 此攻击涉及伪造GPS坐标并滥用这些应用程序的某些功能以确定用户的位置。 然而,这项研究强调,在3Fun的情况下,黑客不需要执行如此复杂的任务,因为应用程序本身是不安全的,并泄露用户的敏感细节。
换句话说,不需要软件来从目标之间的距离计算位置。 专家补充说:“任何知道在哪里寻找这些数据的人都可以获得用户的经纬度。”
虽然用户可以在应用程序的设置菜单中限制其位置数据的曝光,但是这些数据会使用GET请求发送到3Fun服务器,因此它完全暴露给任何数据潜伏者。 “泄漏发生在客户端,因此可以在API中查询此数据以确定目标的位置”。 专家们演示了如何使用此方法访问用户的确切位置。
虽然这项技术对于某些休闲活动可能很有趣,但国际网络安全研究所(IICS)的网络应用安全专家表示,结合泄露的用户数据,例如某些恶意活动的名称或日期,如骚扰或勒索,可能是可能的,更不用说用户的私人照片也可通过API获得。
虽然这项调查已经结束,但专家表示,很有可能在这款应用中发现更多安全漏洞 。
即使开发人员在一个多月前收到有关这些漏洞的通知,他们的回复也不尽如人意,因为他们只回复了一条消息:“感谢您的通知。 这个问题很快就会解决。 如果你有另一个建议,我们会听取它,致敬“。
尽管应用程序存在多个缺陷,但在收到专家的一些建议后,开发人员在几天后修复了这些缺陷。
