左右滑動交友，5000萬用戶配對信息竟被泄露？

雷鋒網某位男同事今天偷摸和宅宅說，他看到一則消息，國外某款火爆的交友軟體被曝出了漏洞，五千萬用戶的配對詳情遭泄露。於是他卸載了手機上一些大家都懂的大型交友(交配)軟體。

「找不到對象是小事，個人隱私被曝光才是大事。」

雖然覺得這兩件都是大事，宅宅還是認同的點點頭，然後迅速爬上外網八卦起來。

事件主角就是創辦於2012年，活躍用戶數已達五千萬的交友軟體Tinder，「搞事情」的是一家位於以色列的安全公司 Checkmarx，其研究人員發現儘管 Tinder 通過 HTTPS 技術對 APP 內用戶資料數據進行了加密，卻無法保證用戶照片、滑動操作和匹配信息的私密性。

什麼意思呢？

就是雖然個人信息那一欄的數據沒有被泄露，但你設置的頭像照片，以及今天喜歡了多少了小鮮肉或是美女，和誰進行了匹配都會被知道……

GIF

Checkmarx 安全研究主管 Erez Yalon 表示這一漏洞被利用後可掌握所有用戶在 Tinder 的使用軌跡，甚至是個人性取向等許多私密信息，「我們可以完全模仿用戶在他手機看到的畫面。」。

具體來說，只要黑客與正在刷交友軟體的用戶使用同一個WiFi，就能輕易查看用戶手機上的每次滑動操作和匹配，甚至還能將自己的照片插入配對排序。（還有這種操作？黑人問號臉）

此處圍觀群眾發出半信半疑的噓聲……

Checkmarx 團隊也不是吃素的，「不信？等著瞧。」

於是這票研究人員特地開發了一款名為「TinderDrift」的軟體，只要接上其他 Tinder 用戶正在使用的 Wi-Fi，就能在電腦上重建用戶使用的情境。利用 Tinder 缺少 HTTPS 加密機制這一漏洞，TinderDrift可遠程掌握用戶瀏覽了誰的資料、喜歡了誰、與誰匹配的操作。

另外，即便是在加密模式下，對用戶行為十分有執念的研究人員也可以通過識別不同操作指令的位元組（bytes），判斷用戶行為。

比如，在 Tinder 向左滑拒絕對象的動作是 278 bytes、向右滑喜歡的動作是 374 bytes，如果雙方配對成功的動作是 581 bytes。

萬幸的是，黑客利用上述漏洞只能獲取用戶匹配過程中的信息，匹配之後雙方的聊天則無法被獲取。（偷偷鬆了一口氣的宅宅……）

Checkmarx 安全團隊稱其在 2017 年 11 月告知了 Tinder 存在的安全漏洞問題，但截至目前 Tinder 仍未修復這項漏洞。

Tinder 的發言人也做出了回應，稱其一直在與黑客博弈，網頁版的 Tinder 有加入 HTTPS 進行加密保護，而隨後也會對手機 App 進行加密。

潛台詞是我們知道有漏了，但你也得給我們時間去補啊。

Checkmarx 的建議是不僅要加入HTTPS加密保護，更要修補配對過程的指令漏洞，起碼讓每條指令位元組一致。另外在 Tinder 發布更新版本前，用戶也要謹防泄露自己的交友行為。

不過雷鋒網也諮詢了某移動安全研究人員，其表示黑客往往利用這一漏洞進行區域網中間人攻擊，但這種攻擊的必要條件是兩者必須處在同一WiFi環境下，對攻擊距離有一定限制，所以不必過於擔心。畢竟隔壁住著黑客，這位黑客還對你的交友十分感興趣的情況也屬少見……

而經過雷鋒網的對比，國內幾家交友軟體的畫風與 Tinder 十分相似，比如某探，某翻，某blu……其是否會出現這種問題呢？

你猜。

參考來源：騰訊科技

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！