西班牙血统的计算机工程师,Marc Pratllusá和Oriol Martínez,专门研究计算机安全,发现了 相当严重的失败约会应用程序Tinder Pratllusá和Martínez虽然不是计算机黑客或类似的人,但他们意识到一个应用程序中的设计缺陷可能允许任何人即使对计算机知识最少,也能识别人的纬度和经度 您在应用程序中与谁“匹配”。工程师偶然发现了这个错误,同时出于专业原因检查 Wallapop、Facebook 或 Spotify 等其他应用程序,就在那时他们发现了 应用程序以坐标而不是距离传输位置。
这款应用的操作非常简单,使用它的人,在与已输入数据匹配的用户照片之间滑动 并且当有人喜欢他们时,他们标记他们,如果他们标记的人对应,就会有一个match在这个使用前提下,工程师发现可以识别他们匹配的人的确切位置即使在 block用户之后错误仍然存在 我们说是,在过去时,因为Tinder 工程师自行修复它,没有通知用户该错误 ,行动好像什么都没发生过一样。
但最让人担心的是,应用程序中的这个错误不仅会报告当时的位置,而且还会指示我们每次搬家 ,它允许用户被其他用户控制,就好像它是一个地理定位系统。
Tinder 没有报告任何内容,它只是向 EL PAíS 评论说,«我们用户的隐私和安全是我们的首要任务。我们不是在谈论为了保护它们而可能发现的特定漏洞。”但是,显然,自从工程师向应用程序开发人员报告错误以来,它已经用了 三个月的时间来解决它。
要访问这些信息,加泰罗尼亚语工程师只需只需在他们的手机和Tinder 服务器之间安装一个代理服务器。通过此项可以读取发送到用户手机的信息。
一旦安装了代理并观察到故障,他们决定创建虚假配置文件执行不同的测试以验证其存在代理错误。确实存在错误,他们能够验证不同人的确切位置,如前一张照片所示目前还不知道这有多久已经发生或有多少人能够恶意使用它,尽管我们可以确认自Pratllusá 和 Martínez 发现它到 Tinder 解决它已经过去了三个月。
来源:EL PAÍS
