交友App爆漏洞 用电话号码就能骇入
2018-03-11 13:14中央社 台北11日电
手机交友软件Tinder传漏洞,骇客只要透过电话号码就能骇入帐号,
幸好已修补漏洞;但资安业者提醒,麻烦的身分验证系统使用虽较不
便,但放弃安全性可能会使企业损失更多。
网络安全厂商趋势科技日前在官方部落格发文表示,可根据使用者的
Facebook和Spotify资料,让互相感兴趣的双方开始聊天的知名手机
交友软件Tinder,经安全研究人员披露漏洞以及该漏洞利用
Facebook AccountKit的方式。
研究人员指出,这个漏洞让骇客只需要受害者的电话号码就能够接管
Tinder帐号并读取私人讯息,幸好这个漏洞已经被Tinder和Facebook
迅速修复。
Facebook的Account Kit让第三方开发者可以简化应用程式流程,使
用者只需用电子邮件地址或电话号码就可注册和登入。当使用者输入
上述资讯,系统就会发送一组验证码用来登入帐号。Tinder是利用
AccountKit来管理使用者登入的服务之一。
安全人员指出,Account Kit的漏洞让骇客只需使用者的电话号码,
就能登入Account Kit,接着骇客可从使用者的Cookie(记录使用者
浏览活动和历史记录的资料)取得存取权杖(access token)。
安全人员解释,Tinder的应用程式接口(API)没有检查Account Kit
所提供权杖内的客户端ID,让攻击者可以使用Account Kit提供给其
他应用程式的存取权杖,进入使用者真正的Tinder帐号。
趋势科技表示,开发部署自制或第三方应用程式的公司往往要在丰富
使用者体验和保护所储存个人或企业资料间做选择。虽然麻烦的身份
验证系统可能会让客户或使用者一时不方便,但是放弃安全性可能会
导致企业损失更多,特别是在实施欧盟一般资料保护法规(GDPR)之
后。
趋势科技提醒,将无密码登录这样的新兴技术整合到行动和Web应用
程式,可以帮助开发人员和使用者简化身分验证流程,但如果做得不
好,也会增加安全风险。
https://udn.com/news/story/7098/3024585
居然有漏洞!有在用这个Tinder程式的朋友们可要好好注意了
原来是因为没有好好检查,希望这家公司得赶快修复啊,不然事情可就大条了
小心!