3Fun约会移动应用程序为“好奇的夫妇和单身”暴露了其用户的精确位置以及个人详细信息,如出生日期和本应受内置隐私设置保护的图片。
纬度和经度形式的地理位置详细信息可以高精度获得,无论用户在使用应用程序时的哪个位置,都可以精确定位用户。
该应用程序从其用户收集实时位置数据,如果用户需要,可以显示可能的匹配。还可以选择隐藏此详细信息,但此块仅在应用程序级别,因为它仍然到达3Fun服务器。
如下图所示,移动应用程序在GET请求中收到位置数据:
研究人员指出,由于数据过滤仅限于移动应用程序,因此他们可以向3Fun服务器查询其他用户的位置。
以这种方式提出的请求显示3Fun用户遍布英国。由于用户可以被追踪到房屋或建筑物,因此细节水平令人印象深刻。
研究人员在白宫,唐宁街10号以及美国最高法院大楼内找到了一些爱好三方的人。
但该应用程序不会加密从应用程序到其服务器的流量,因此可以使用允许拦截和修改数据的软件轻松欺骗此信息。
可以从3Fun服务器收集的其他详细信息包括出生日期,性别和性取向。
“这些数据可用于近乎实时跟踪用户,暴露他们的私人活动,甚至更糟糕,” Pen Test Partners的Alex Lomas 说。
这可能是严重的,将私人照片添加到私人相册中更为令人担忧。根据应用程序的描述,这些图像仅适用于用户的比赛。
然而,他们没有受到保护,任何与他们有联系的人都可以访问和复制它们; 并且在API响应中公开了找到路径。
“根据移动应用程序和API中的代码,我们认为存在大量其他漏洞,但我们无法对其进行验证。”
3Fun声称超过150万用户,每天交换超过180,000条消息。但暂时找不到统计数据来支持这些信息。在Android上,该应用程序安装了100,000多个,总共有9,260条评论。在iOS上有大约25,700个评级。
洛杉矶表示,Pen Test Partners于7月1日向开发人员通报了他们的调查结果,修复工作“相当快”。Android应用程序的最新更新是从7月21日开始,而iOS的最新版本是从7月8日开始。
用户数据永远都是企业最大的产业之一,企业有义务保护用户信息安全,保护数据隐私也是各行业大小企业关注的重中之重。如何提高企业网络安全保护用户信息?
1.拒绝违规收集个人信息、强行捆绑等行为
经营者收集、使用个人信息,应当遵循合法、正当、必要原则,不能收集与其提供的服务无关的个人信息。
2.对操作系统进行及时更新,堵塞操作系统的安全漏洞
通过定期对操作系统进行升级和更新的办法有效堵塞操作系统的安全漏洞,从而满足操作系统的安全性能指标,提高操作系统的防御能力。所以,我们应在网络使用过程中,对操作系统进行及时更新,防患于未然。
3.在网络终端系统中安装杀毒软件,提高防御能力
为了保证网络终端能够满足安全性能要求,我们应在网络终端系统中安装杀毒软件,定期对网络终端系统进行杀毒,保证网络终端系统能够抵御病毒攻击,提高网络终端系统的安全性。
4.采用信息加密技术,提高数据库的安全性
结合数据库的使用特点,对数据库中的信息采取加密技术,防止数据库中的数据被盗用,提高数据的安全性。
5.部署SSL证书,使用HTTPS加密传输协议
HTTPS是一项相对安全的加密传输协议,是HTTP的升级版。HTTPS=HTTP+SSL,其中SSL及其继任者TLS是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密,防止传输数据被他人窃取、窥视或篡改。
在互联互通的全球数字经济背景下,数据是企业最重要的战略资产。只有提升对数据价值的认识,对数据存储、使用和管理的方式予以高度重视并将其置于企业战略的核心,同时建立有效的数据保护策略,方能保障企业安全。
领取专属 10元无门槛券
私享最新 技术干货