根据Appsecure的一份最新报告,最新发布的一项攻击让研究人员只需一个用户的电话号码就可以接管Tinder帐户。Tinder已更改其登录系统以抵御攻击,没有证据表明它在补丁发布之前被利用。不过,它提醒我们,许多登录系统仍然是多么脆弱,即使是基本的漏洞,当链接在一起时也会多么强大。
该攻击利用了两个独立的漏洞:一个在Tinder中,另一个在Facebook的帐户工具包系统中,Tinder使用该系统管理登录。Account Kit漏洞暴露了用户的访问令牌(也称为“aks”令牌),使其可以通过带有相关电话号码的简单API请求访问。
这对于账户接管本身来说还不够,但Tinder的账户工具包实现有其自身的漏洞。Tinder的登录系统没有根据相关的客户端ID验证访问令牌,这意味着任何拥有有效访问令牌的人都可以接管整个帐户。将这两个漏洞链接在一起,研究人员就可以从一个电话号码开始完全接管一个Tinder帐户——完全访问用户的个人资料和聊天记录。
Appsecure在今年早些时候向Facebook和Twitter报告了该漏洞,并通过两家公司各自的漏洞奖励计划获得了5000美元和1250美元的奖励。”“我们很快解决了这个问题,”Facebook的一位代表告诉Verge,“我们非常感谢引起我们注意的研究人员。”
Tinder拒绝就报告的细节发表评论。”安全是Tinder的首要任务,”一位代表说,“但是,我们不讨论任何具体的安全措施或策略,以免向恶意黑客提供线索。”
美国东部时间下午3:45更新:更新内容包括Facebook的评论。
美国东部时间下午6:21更新:更新内容包括Tinder的评论。
... Tinder改变了游戏规则。它将在线约会转变成了一个无缝的图像流,只需轻轻一扫就可以将人抛弃。然而,Tinder绝不是网络约会的缩影。我不认为有多少人会不同意。”传统...
... Twitter喜欢验证账户,所以你可能会认为Tinder也喜欢。事实上,很多人申请这个是为了让他们的对手相信他们就是他们所说的那个人。不幸的是,那是个骗局。Tinder根本不提供经过验证的账户。一个恶意的机器人...
... 然后他们就可以窃取你的电话号码,并将其链接到自己的设备上。无需取出SIM卡! ...
... Tinder提供了另一种注册方法,可以链接到你的电话号码而不是Facebook。第一次创建帐户时,只需选择“使用电话号码登录”。 ...
... 如果您尝试再次使用电话号码、电子邮件或Facebook页面登录,Tinder将为您创建一个全新的个人资料。 ...
...约5000万Facebook用户的账户可能被访问,这是一次重大安全漏洞的一部分。这是由于一个或多个未知方利用Facebook代码中的漏洞并因此窃取访问令牌。 ...
...式监管的呼声。也应该如此。 相关报道:Facebook利用你的电话号码来定位广告,你无法阻止
...)你可以选择一个最适合你的工作流程的工具。第一个是Tinderizer,一个简单的一键式文章格式化程序。第二种是使用像Instapaper或Pocket这样的服务,它可以让你把文章保存起来,以便以后在Kindle和iOS和Android的移动应用程序中阅读...