偷滑肌肉男被發現?交友軟體 Tinder 爆漏洞,5 千萬用戶配對過程遭外洩

作者 | 發布日期 2018 年 01 月 25 日 8:45 | 分類 app , 社群 , 資訊安全 follow us in feedly

手機交友 App 成為許多人認識新對象的管道,拿出手機輕輕一滑,照片、基本資料都能大致掌握,但這同時也代表了平台存有從興趣、照片、身高體重甚至性取向等個人私密資訊。



受全球歡迎、活躍用戶數達 5 千萬的交友軟體 Tinder,最近就被一家安全公司發現部分資訊缺乏 HTTPS 加密機制,若被有心人士利用,就能遠端掌握用戶交友習慣及使用軌跡,不僅隱私可能受侵犯,嚴重的話甚至會用做親密關係間勒索的籌碼。

Tinder 爆出漏洞,滑過對象統統能掌握

以色列特拉維夫的 App 安全公司 Checkmarx 研究人員發現,Tinder 手機 App 內的資料雖然都受 HTTPS 加密保護,但缺乏對照片、使用軌跡、配對結果,3 項資訊的基礎 HTTPS 加密機制。

研究發現任何 iOS、Android 用戶只要跟研究人員使用同一個 Wi-Fi ,用戶曾瀏覽的照片、約會對象全都可以一清二楚,甚至可將自己的照片插入配對排序。研究人員警告,這樣的漏洞除了會有隱私被偷窺的疑慮,甚至私密資訊外洩可能遭有心人士勒索的風險。「我們可以完全模仿用戶在他手機看到的畫面。」Checkmarx 安全研究主管 Erez Yalon 表示,這項漏洞可掌握所有用戶在 Tinder 的使用軌跡,甚至是個人性取向等許多私密資訊。

為了測試 Tinder 有多脆弱,Checkmarx 團隊打造一款叫「Tinder Drift」的軟體,只要接上其他 Tinder 用戶正在使用的 Wi-Fi,就可在電腦幾乎重建用戶使用的情境,缺乏 HTTPS 加密的 Tinder 除了可讓人遠端掌握用戶瀏覽過的檔案,研究人員還發現,即便是在加密模式下,仍可透過辨識軟體的不同位元組(bytes),來判斷用戶的使用軌跡。

▲ 以色列的 App 安全公司 Checkmarx 研究人員發現,Tinder 的安全漏洞讓有心人士掌握用戶的使用軌跡。(Source:shutterstock)

例如,在 Tinder 向左滑拒絕對象是 278 bytes、往右滑喜歡是 374 bytes,如果雙方配對成功就是 581 bytes,只要透過這些規律,再搭配未加密資訊擷取的圖片,TinderDrift 就能分辨用戶在 Tinder 操作的結果,只要被有心人士將兩項漏洞組合在一起,就會構成嚴重的隱私問題。

不過用戶可以稍微喘口氣的是,研究人員發現這個漏洞僅能掌握用戶配對的過程,一旦配對完後雙方傳訊息的內容很安全,無法攻破。

▲ Checkmarx 研究人員展示 TinderDrift 如何突破 Tinder 的漏洞。

HTTPS 能確保資訊傳輸私密性

Checkmarx 團隊表示,他們 2017 年 11 月已經通知 Tinder 發現的問題,但截至目前公司仍未修復這項漏洞。Tinder 發言人表示:「如同多數科技公司,我們一直在努力抵抗惡意駭客。」並表示網頁版的 Tinder 有受 HTTPS 加密保護,並打算將保護層面擴大,正在努力對手機 App 照片進行加密工作。

HTTPS(Hypertext Transfer Protocol Secure,縮寫 HTTPS) 是超文本傳輸安全協定的意思,這個協定最早在 1994 年首次由網景公司(Netscape)提出,HTTPS 主要的功能是在不安全的網路上建立一個安全的通道,並在使用加密套件、被信任伺服器憑證的情況下提供防護,確保網頁在傳輸過程中不被變造或竄改。HTTPS 廣泛使用在交易支付和企業傳輸敏感訊息的系統,並在 2010 年開始廣泛用於保護所有類型網站的帳戶、用戶身分以及私密性。

▲ 缺乏 HTTPS 加密機制,若被有心人士利用,就能遠端掌握用戶交友的習慣以及使用軌跡。(Source:pixabay

而台灣的 HTTPS 使用呢?2017 年 10 月,民進黨立委余宛如曾表示,台灣目前 1,089 個政府網站,僅有 11.2% 使用 HTTPS,甚至總統府、國安局、外交部這類高度需要安全防護的網站皆未使用 HTTPS,因此飽受批評;另外,台北市政府 2017 年推出的一站式繳費平台 pay.taipei ,推出不久就被法國網域服務供應商 Gandi.net 亞洲區總經理 Thomas Kuiper 發現 pay.taipei 的 App 沒有使用 HTTPS,甚至密碼還以純文字傳送,安全度受質疑,事後台北市資訊局也緊急應變修復這項缺失。

Checkmarx 建議,未來 Tinder 不僅要將照片加密,還必須修補配對過程的指令漏洞,讓每條指令看起來都一樣,防止被有心人士利用,並提醒在 Tinder 釋出修補前,用戶必須當心 App 的交友軌跡有洩露的風險。

(本文由 數位時代 授權轉載;首圖來源:Unsplash