安全实习生发现yik yak短信应用程序的主要漏洞
Yik Yak自诩为一种向你所在地区的用户发布匿名信息的简单方式,但一份新的报告显示,这款流行的应用程序可能存在真正的安全漏洞。这份报告由SilverSky实验室安全研究实习生桑福德·莫斯科维茨(Sanford Moskowitz)撰写,详细说明了与目标位于同一Wi-Fi网络上的攻击者如何能够完全控制目标的Yik Yak帐户,只需使用一个便于监控的网卡和Wireshark这样的数据包分析器。如果Moskowitz的报告成立的话,它可能会给这个越来越受欢迎的应用程序带来一个真正的问题,该应用程序将临时匿名作为其主要卖点之一。
完全控制目标Yik Yak账户的方法
该漏洞的核心是Yik Yak的UserID,这是一个字符串,用于验证每个用户对整个服务的身份。因为UserID是Yik-Yak唯一的身份验证形式,一旦你拥有了用户id,你就可以有效地伪装成任何用户。应用程序和Yik Yak服务器之间的通信通过HTTPS进行保护,有效地伪装了用户ID,但应用程序还与各种第三方广告和分析工具的服务器进行通信,其中一些对伪装用户ID不太小心。
Moskowitz利用了一个名为Flurry的特殊工具,它以明文形式传输用户ID,将它暴露给任何可能从同一个Wi-Fi网络监听的人。从这里开始,接管一个用户的帐户就像启动一个修改过的程序版本一样简单,这个程序包含在新的UserID中,Moskowitz详细介绍了这个过程。Moskowitz没有说明他是否在网上发布报告之前向Yik Yak透露了这个漏洞,所以这个消息可能会让应用团队大吃一惊。此前有报道称,Android版本的应用程序也存在类似的漏洞,目前尚未解决。我们已经联系了Yik Yak团队,并将更新任何回复。
- 发表于 2021-04-28 01:42
- 阅读 ( 95 )
- 分类:互联网
你可能感兴趣的文章
你的孩子不应该使用5个危险的移动应用程序
... 很有可能。一堆应用程序装作是儿童和年轻人的理想之选,但事实证明却相当可怕。我们不可能把它们全部覆盖在这里,但是已经收集了五种更差的东西供你们考虑。 ...
2020年最大最好的科技新闻
... 今年1月,Netflix推出了一款新的DVD租赁应用程序,Instagram为Stories添加了广告,Chrome增加了对FLAC文件的支持,三星解释了Galaxy Note 7爆炸的原因,谷歌宣布所有新的Chromebook都将运行Android应用程序,惠普召回了10.1...
萨拉哈和其他叶牦牛诚实的匿名反馈替代品
...经关闭,这是一个需要填补的空白。像Sarahah和其他一些应用程序可以做到这一点。 ...
保持匿名在线与5个最热门的业牦牛替代品
...但它在数百万用户中非常受欢迎。如果你错过了匿名聊天应用程序的匿名性或简单性,这里有最好的Yik Yak替代方案,你应该看看。 ...
匿名短信应用yik yak已经死了
...短信应用Yik Yak已经不在了。该公司目前正在逐步关闭该应用程序,只剩下一款应用程序供闲聊者和网络恶霸使用。会有人想念Yik Yak吗?可能不会。 ...
pegasus漏洞意味着是时候修补你的苹果设备了
...被积极利用的零日漏洞,使攻击者有机会拦截和窃取大量应用程序的机密信息。 ...
苹果新的沙盒安全功能保护你免受恶意imessages的攻击
... 多年来,Messages应用程序中的各种漏洞为那些利用共享缓存或暴力攻击闯入Messages应用程序的坏人打开了许多新的攻击载体。安全研究人员一直警告说,苹果流行的iMessage消息功能在清除...
android的stagefright漏洞:你需要知道什么以及如何保护自己
...更糟。媒体主要关注的是彩信攻击方法,但即使是网页或应用程序中嵌入的MP4视频也可能危及你的**或平板电脑。 为什么舞台灯光的缺陷是危险的-不仅仅是彩信 一些评论员称这种攻击为“Stagefright”,但实际上是对Android中一...
tiktok漏洞可能让黑客访问用户的视频
...施。 CheckPoint说,它在11月通知TikTok的母公司安全漏洞,应用程序也修复了这个问题。 “TikTok致力于保护用户数据。与许多组织一样,我们鼓励负责任的安全研究人员私下向我们披露零日漏洞,”TikTok安全团队成员Luke Deshhotels在...
secret作为一个更快的匿名社交网络正在重新启动
...逐渐减少,Secret也不再是排名前1500位的应用了。但随着应用程序的活动放缓,Secret联合创始人大卫·比托(David Byttow)和克里斯·贝德(Chrys Bader)正在开发第二个版本的服务——这可能是让Secret复活的原因。 更快...
0 篇文章
