手機交友App成為許多人認識新對象的管道,拿出手機輕輕一滑,照片、基本資料都能大致掌握,但這同時也代表了平台上存有從興趣、照片、身高體重甚至性取向等個人私密資訊。
受到全球歡迎活躍用戶數達5千萬的交友軟體Tinder,最近就被一家安全公司發現部分的資訊缺乏HTTPS加密的機制,若被有心人士利用,就能遠端掌握用戶交友的習慣以及使用軌跡,不僅隱私可能受到侵犯,嚴重的話甚至會被用來作為親密關係間勒索的籌碼。
Tinder爆出漏洞,滑過對象通通能被掌握
來自以色列特拉維夫的App安全公司Checkmarx的研究人員發現,Tinder手機App內的資料雖然都受到HTTPS的加密保護,但缺乏對於照片、使用軌跡、配對結果,三項資訊的基礎HTTPS加密機制。
研究發現任何iOS、Android用戶只要跟研究人員使用同一個Wi-Fi ,用戶曾經瀏覽過的照片、約會對象全部都可以一清二楚的掌握,甚至可以將自己的照片插入配對的排序中。研究人員警告,這樣的漏洞除了會有隱私被偷窺的疑慮,甚至私密資訊外洩可能遭到有心人士勒索的風險。「我們可以完全模仿用戶在他手機上所看到的畫面。」Checkmarx安全研究主管Erez Yalon表示,這項漏洞可以掌握所有用戶在Tinder上的使用軌跡,甚至是個人性取向等許多私密資訊。
為了測試Tinder有多脆弱,Checkmarx 團隊打造了一款叫「Tinder Drift」的軟體,只要連接上其他Tinder用戶正在使用的Wi-Fi,就可以在電腦上幾乎重建用戶使用的情境,缺乏HTTPS加密的Tinder除了可以讓人遠端掌握用戶瀏覽過的檔案,研究人員還發現,即便是在加密的模式之下,仍可透過識別軟體中的不同位元組(bytes),來判斷用戶的使用軌跡。
例如,在Tinder上向左滑拒絕對象是278 bytes、往右滑喜歡是374 bytes,如果雙方配對成功就是581 bytes,只要透過這些規律,再搭配未加密資訊擷取下來的圖片,TinderDrift就能分辨用戶在Tinder操作的結果,只要被有心人士將兩項漏洞組合在一起,就會構成嚴重的隱私問題。
不過用戶可以稍微喘口氣的是,研究人員發現這個漏洞僅能掌握用戶配對的過程,一旦配對完後雙方傳訊息的內容很安全,是無法被攻破的。
HTTPS能確保資訊傳輸私密性
Checkmarx團隊表示,他們在去年11月已經通知Tinder他們所發現的問題,但截至目前公司仍未修復這項漏洞。Tinder 發言人表示,「如同多數的科技公司,我們一直在努力抵抗惡意駭客。」並表示網頁版的Tinder有受到HTTPS加密保護,並打算將保護層面擴大,正在努力對手機App照片進行加密工作。
HTTPS(Hypertext Transfer Protocol Secure,縮寫:HTTPS) 是超文本傳輸安全協定的意思,這個協定最早在1994年首次由網景公司(Netscape)提出,HTTPS主要的功能是在不安全的網路上建立一個安全的通道,並在使用加密套件、被信任伺服器憑證的情況下提供防護,確保網頁在傳輸過程中不被變造或竄改。HTTPS廣泛使用在交易支付和企業傳輸敏感訊息的系統中,並在2010年開始廣泛用於保護所有類型網站的帳戶、用戶身分以及私密性。
而台灣在HTTPS使用呢?去年十月,民進黨立委余宛如曾表示,台灣目前1,089 個政府網站,僅有11.2%的比例使用HTTPS,甚至總統府、國安局、外交部這類高度需要安全防護的網站皆未使用HTTPS,因此飽受批評;另外,台北市政府去年推出的一站式繳費平台 pay.taipei ,推出不久就被法國網域服務供應商Gandi.net 亞洲區總經理 Thomas Kuiper發現pay.taipei 的App沒有使用HTTPS,甚至密碼還是以純文字傳送,安全度受到質疑,事後台北市資訊局也緊急應變修復了這項缺失。
Checkmarx 建議,未來Tinder不僅要將照片加密,還必須修補配對過程的指令漏洞,讓每條指令看起來都一樣,防止被有心人士利用,並提醒在Tinder釋出修補前,用戶必須當心在App上的交友軌跡有洩露的風險。
