TechCrunch 報(bào)道稱�,約會(huì)應(yīng)用 Raw 的一次安全疏漏使得其用戶的個(gè)人數(shù)據(jù)和私密定位信息被公開(kāi)暴露。
暴露的數(shù)據(jù)包括用戶的顯示名稱��、出生日期,以及與 Raw 應(yīng)用相關(guān)的約會(huì)和性取向偏好�,此外還包括用戶的位置數(shù)據(jù)。其中部分位置數(shù)據(jù)包含的坐標(biāo)具體到可以實(shí)現(xiàn)街道級(jí)定位���。
Raw 應(yīng)用于 2023 年推出,是一款約會(huì)應(yīng)用����,其聲稱通過(guò)要求用戶上傳每日自拍照片,能提供更加真實(shí)的互動(dòng)體驗(yàn)��。該公司并未公開(kāi)用戶數(shù)量,但其在 Google Play 商店的應(yīng)用列表中顯示����,截至目前 Android 平臺(tái)的下載量已超過(guò) 500,000 次。
這次安全疏漏的消息發(fā)生在同一周內(nèi)�����,該初創(chuàng)公司宣布將其約會(huì)應(yīng)用擴(kuò)展到硬件領(lǐng)域��,推出尚未發(fā)布的可穿戴設(shè)備 Raw Ring�����。據(jù)稱該設(shè)備將允許用戶追蹤其伴侶的心率及其他傳感器數(shù)據(jù)�����,以通過(guò) AI 生成的見(jiàn)解來(lái)偵測(cè)外遇�����。
盡管追蹤伴侶的行為涉及道德和倫理問(wèn)題���,并存在情感監(jiān)控的風(fēng)險(xiǎn)�����,Raw 在其網(wǎng)站及隱私政策中均聲稱���,其應(yīng)用和未發(fā)布設(shè)備都采用端到端加密��,這一安全功能旨在防止除用戶之外的任何人——包括公司本身——訪問(wèn)數(shù)據(jù)。
TechCrunch 本周試用該應(yīng)用并對(duì)其網(wǎng)絡(luò)流量進(jìn)行了分析后發(fā)現(xiàn)�����,并無(wú)證據(jù)表明該應(yīng)用使用了端到端加密����。相反�,我們發(fā)現(xiàn)應(yīng)用竟公開(kāi)向任何擁有網(wǎng)頁(yè)瀏覽器的人泄露用戶數(shù)據(jù)。
在 TechCrunch 向公司提供漏洞詳情后不久��,Raw 在周三修復(fù)了數(shù)據(jù)泄露問(wèn)題�。
Raw 約會(huì)應(yīng)用聯(lián)合創(chuàng)始人 Marina Anderson 通過(guò)電子郵件告訴 TechCrunch:“之前暴露的所有接口現(xiàn)已得到安全加固,我們還實(shí)施了額外的防護(hù)措施��,以防止將來(lái)出現(xiàn)類似問(wèn)題���。”
當(dāng) TechCrunch 詢問(wèn)時(shí),Anderson 確認(rèn)公司尚未對(duì)其應(yīng)用進(jìn)行第三方安全審核��,并補(bǔ)充稱:“我們的重點(diǎn)依然放在構(gòu)建高質(zhì)量產(chǎn)品和與不斷壯大的社區(qū)進(jìn)行有意義的互動(dòng)上�。”
Anderson 沒(méi)有承諾會(huì)主動(dòng)通知受影響用戶其信息曾被泄露��,但表示公司會(huì)“依據(jù)適用法規(guī)向相關(guān)數(shù)據(jù)保護(hù)機(jī)構(gòu)提交詳細(xì)報(bào)告�。”
目前尚不清楚該應(yīng)用公開(kāi)泄露用戶數(shù)據(jù)的持續(xù)時(shí)間���。Anderson 表示����,公司仍在調(diào)查這一事件�����。
對(duì)于其聲稱應(yīng)用使用端到端加密的問(wèn)題�����,Anderson 表示 Raw “在傳輸中使用加密�,并對(duì)我們基礎(chǔ)設(shè)施中敏感數(shù)據(jù)實(shí)施訪問(wèn)控制。經(jīng)過(guò)全面分析情況后����,我們將采取進(jìn)一步措施�?!?
當(dāng)被問(wèn)及是否計(jì)劃調(diào)整其隱私政策時(shí),Anderson 沒(méi)有表態(tài)����,且在 TechCrunch 后續(xù)郵件問(wèn)詢時(shí)也未作回復(fù)。
如何發(fā)現(xiàn)泄露數(shù)據(jù)
TechCrunch 在周三對(duì)該應(yīng)用進(jìn)行簡(jiǎn)短測(cè)試時(shí)發(fā)現(xiàn)了這一漏洞��。作為測(cè)試的一部分��,我們?cè)谝粋€(gè)虛擬化的 Android 設(shè)備上安裝了 Raw 約會(huì)應(yīng)用���,這使我們無(wú)需提供任何現(xiàn)實(shí)中的數(shù)據(jù)��,例如我們的實(shí)際位置即可使用該應(yīng)用��。
我們創(chuàng)建了一個(gè)使用虛假數(shù)據(jù)的新用戶賬戶�,例如姓名和出生日期���,并將虛擬設(shè)備的位置設(shè)置為看起來(lái)像我們位于加利福尼亞州 Mountain View 的一座博物館���。當(dāng)應(yīng)用請(qǐng)求獲取我們虛擬設(shè)備的位置時(shí)�,我們?cè)试S其訪問(wèn)我們精確到幾米之內(nèi)的位置數(shù)據(jù)��。
我們使用了網(wǎng)絡(luò)流量分析工具來(lái)監(jiān)控和檢查 Raw 應(yīng)用中進(jìn)出的數(shù)據(jù)流����,從而了解該應(yīng)用如何運(yùn)作以及其上傳哪些用戶數(shù)據(jù)����。
TechCrunch 在使用 Raw 應(yīng)用數(shù)分鐘內(nèi)就發(fā)現(xiàn)了數(shù)據(jù)泄露問(wèn)題。我們首次加載該應(yīng)用時(shí)���,發(fā)現(xiàn)它直接從公司服務(wù)器拉取用戶資料信息�,但服務(wù)器并未對(duì)返回的數(shù)據(jù)進(jìn)行任何身份驗(yàn)證保護(hù)����。
實(shí)際上,這意味著任何人只需使用網(wǎng)頁(yè)瀏覽器����,訪問(wèn)暴露服務(wù)器的網(wǎng)頁(yè)地址—— api.raw.app/users/ 后跟一個(gè)獨(dú)特的 11 位數(shù)字,該數(shù)字對(duì)應(yīng)于另一位應(yīng)用用戶�,即可訪問(wèn)該用戶的隱私信息。將數(shù)字修改為其他用戶對(duì)應(yīng)的 11 位標(biāo)識(shí)符�,即能返回該用戶資料中的私密信息���,包括其位置數(shù)據(jù)。
這種漏洞被稱為不安全的直接對(duì)象引用(IDOR)���,是一類由于缺乏對(duì)訪問(wèn)數(shù)據(jù)的用戶進(jìn)行適當(dāng)安全檢查而可能允許他人訪問(wèn)或修改他人服務(wù)器上數(shù)據(jù)的漏洞�。
正如我們之前所解釋的��,IDOR 漏洞類似于擁有一把能夠打開(kāi)一個(gè)私人郵箱的鑰匙����,但這把鑰匙也能打開(kāi)同一街區(qū)中其他所有郵筒。因此���,IDOR 漏洞非常容易被利用�,在某些情況下還能被枚舉��,從而訪問(wèn)大量用戶數(shù)據(jù)記錄�����。
美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu) CISA 長(zhǎng)期以來(lái)一直警告 IDOR 漏洞帶來(lái)的風(fēng)險(xiǎn)���,包括能夠“大規(guī)?!痹L問(wèn)通常為敏感數(shù)據(jù)。作為其 Secure By Design 計(jì)劃的一部分��,CISA 在 2023 年的一份公告中曾表示��,開(kāi)發(fā)人員應(yīng)確保他們的應(yīng)用執(zhí)行適當(dāng)?shù)纳矸蒡?yàn)證和授權(quán)檢查��。
自 Raw 修復(fù)該漏洞以來(lái)����,被暴露的服務(wù)器在瀏覽器中已不再返回用戶數(shù)據(jù)�。
