根据一家安全公司的说法，Tinder用户下载的图片可能会被偷窥者看到。用户会在图片上左右滑动吗？

这些漏洞是由应用安全测试公司Checkmarx的研究人员发现的。基于HTTP连接的使用和可预测的HTTPS响应大小，它允许攻击者解码加密的签名，并查看用户对另一个用户的配置文件采取了什么操作。

Checkmarx的网络安全传教士Amit Ashbel告诉ZDNet:“加密方法实际上允许攻击者理解加密本身，或者从加密的类型和长度推断实际使用的数据。”

在大多数应用中，Tinder使用HTTPS通信协议来安全地传输数据。但是，说到用户的个人资料图片，Tinder仍然使用HTTP协议，这是一种较旧且不太安全的通信协议。Checkmarx的应用安全研究经理Erez Yalon告诉ZDNet，“2018年，这个协议不再合理”。

Tinder在请求下载图片时使用HTTP连接，使得攻击者可以在与用户相同的网络上浏览用户的个人数据，例如公共wi-fi热点——，查看他们是否正在打开和发送消息。攻击者甚至可以通过拦截流量来更改图像。

“它允许用户查看在开放网络中发送到设备和从设备发送的所有图像。允许他们改变。如果他们想变得恶意，他们可以改变图像，他们可以投放广告，”亚伦说。

第二个漏洞源于Tinder部署加密的方式，即使使用了HTTPs。攻击者不仅可以分析来自API服务器的流量，查看Tinder用户看到的图片，还可以看到他们对配置文件采取了什么操作。

研究人员发现，Tinder应用程序的安全漏洞可能会危及用户的隐私。

Tinder API根据用户的响应从服务器发送加密数据包。但是这些加密的响应是可预测的，因为每个动作的有效负载大小保持不变。密钥长度总是一个长度，这是一个不喜欢，一个超级喜欢和一个长度，这允许观察者攻击者破解动作，他们查看用户的个人资料。

参见：网络战：网络冲突可怕未来指南。

“如果长度是特定的大小，我知道它在向左滑动，如果是另一个长度，我知道它在向右滑动。现在我知道了图像，我可以准确地推断出受害者喜欢什么，不喜欢什么，匹配什么，或者超级匹配什么。我们试图一个接一个地联系对方，在每个签名上签名，以及他们的确切回应，”亚龙说。

HTTP连接和可预测的HTTPs相结合，使得攻击者能够监控与他们在同一网络上的Tinder用户，而没有人知道他们的隐私受到威胁。不需要特殊的技术，攻击者只需要一个数据包嗅探器就可以查看数据。

亚伦说：“这次攻击完全看不见，因为我们没有采取任何积极的行动。”如果你在一个开放的网络上，你可以这样做。你只需要嗅探数据包就知道发生了什么，但用户无法阻止它，甚至不知道它已经发生了。"

研究人员还没有发现任何使用这种攻击的证据，但亚龙告诉ZDNet，由于没有办法追踪这种秘密攻击，“我们不能确定它没有发生”。

Checkmarx在几个月前通知了Tinder这个漏洞，但是安全公司已经决定公开这项研究，试图让用户意识到风险，因为还没有发布补丁。

“我们非常重视用户的安全和隐私。我们使用工具和系统网络来保护我们平台的完整性，”Tinder发言人告诉ZDNet。

“与所有其他科技公司一样，我们也在不断提高防御恶意黑客的能力。例如，我们的桌面和移动网络平台已经加密了个人简介图片，我们也在努力加密应用体验中的图片，”发言人继续说道。

发言人补充说，「不过，我们不会就我们使用的特定保安工具或为避免被黑客窃取而可能采取的加强措施提供进一步的详情。」

根据Checkmarx的说法，Tinder应该将所有图片转移到HTTPS，这样它们就不会在不安全的HTTP连接上被查看。还建议Tinder确保用于响应的所有数据包长度不同。

他还警告说，仅仅应用加密和HTTPS并不足以确保安全，因为“你需要考虑如何避免整个披露过程”。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：