熱門交友應用Tinder被曝安全漏洞：黑客可輕松獲照片等信息

　　據外媒報道，最新研究表明，熱門約會交友應用Tinder目前仍缺乏必要的加密技術，確保用戶照片、滑動操作和匹配信息的私密性。

　　本周二，以色列移動應用信息安全公司Checkmarx的研究人員指出，Tinder仍缺乏基本的HTTPS加密技術。只要與Tinder用戶處于相同的WiFi網絡中，研究人員就可以查看該用戶的任何照片，甚至將其他照片注入到用戶的照片流中。

　　此外，盡管Tinder的其他數據通過HTTPS技術進行了加密，但Checkmark發現，Tinder泄露了足夠多的信息，從而讓黑客可以識別出加密命令，處于同一WiFi網絡的黑客可以很容易地查看用戶手機上的每一次滑動操作和匹配。研究人員認為，缺乏保護機制將帶來許多問題，包括信息被偷窺，以及可能的敲詐勒索。

　　Checkmarx應用信息安全研究經理埃利澤·耶倫(Erez Yalon)表示：“我們可以準確模擬用戶在屏幕上看到的東西。你知道所有一切：他們在干什么，他們的性取向是什么，以及其他許多信息。”

　　為了展示Tinder的漏洞，Checkmarx開發了概念驗證軟件TinderDrift。如果將安裝該軟件的筆記本電腦連接至Tinder用戶所在的WiFi網絡，那么軟件就可以自動重建整個會話。

　　TinderDrift利用的最主要漏洞在于，Tinder缺少HTTPS加密機制。該應用通過不受保護的HTTP協議去傳輸圖片，因此網絡上的任何人都可以很容易地竊取這些信息。此外，研究人員還使用了額外的技巧，從Tinder已加密的數據中提取信息。

　　Checkmarx表示，已于11月通知Tinder這個問題，但問題尚未解決。

　　Tinder發言人在回應中稱：“與其他科技公司一樣，我們在與惡意黑客的斗爭中持續提升自己的防御能力。”他同時指出，Tinder上的個人資料照片是公開的。(但基于這些照片的用戶互動，例如滑動和匹配操作并不是。)此外他還表示，網頁版Tinder實際上已經實現了HTTPS加密，而該公司計劃在更大的范圍內應用這項技術。

　　他表示：“我們也嘗試在應用中加密圖像。不過，我們不會進一步透露所使用的信息安全工具，或是我們即將部署的優化的細節，以免被黑客攻擊。”

　　過去幾年，對所有重視隱私保護的應用和網站來說，HTTPS已成為事實標準。Checkmarx的研究人員表示，盡管加密在某些情況下會增加性能成本，但當代服務器和手機可以輕松處理這些額外開銷。耶倫指出：“現在沒有任何理由不使用HTTPS。”

　　Checkmarx表示，為了修復這些漏洞，Tinder不僅應當對照片加密，還應在應用中“填充”其他命令，讓每條命令看起來都是同樣大小，使這些命令在隨機數據流中無法被識別。