交友 APP Tinder 驚爆大漏洞,用手機號碼就能把你的香豔聊天內容看光光!

【我們為什麼挑選這篇文章】世界知名的快速交友軟體 Tinder 驚傳資安漏洞,駭客只需要受害人的手機號碼,就能入侵帳戶竊取資料!

現階段雖然漏洞已被防堵,但是這次的事件也再次凸顯出,方便用戶使用與加強資料保護之間的困難選擇。

不管如何,有使用 Tinder 的用戶們最近就自己多留心囉。(責任編輯:林厚勳)

手機交友軟體 Tinder 傳漏洞,駭客只要透過電話號碼就能駭入帳號,幸好已修補漏洞;但資安業者提醒,麻煩的身分驗證系統使用雖較不便,但放棄安全性可能會使企業損失更多。

網路安全廠商趨勢科技日前在官方部落格發文表示,可根據使用者的 Facebook 和 Spotify 資料,讓互相感興趣的雙方開始聊天的知名手機交友軟體 Tinder,經安全研究人員披露漏洞以及該漏洞利用 Facebook Account Kit 的方式。

研究人員指出, 這個漏洞讓駭客只需要受害者的電話號碼就能夠接管 Tinder 帳號並讀取私人訊息 ,幸好這個漏洞已經被 Tinder 和 Facebook 迅速修復。

Facebook 的 Account Kit 讓第三方開發者可以簡化應用程式流程,使用者只需用電子郵件地址或電話號碼就可註冊和登入。當使用者輸入上述資訊,系統就會發送一組驗證碼用來登入帳號。Tinder 是利用 Account Kit 來管理使用者登入的服務之一。

安全人員指出,Account Kit 的漏洞讓駭客只需使用者的電話號碼,就能登入 Account Kit,接著駭客可從使用者的 Cookie(記錄使用者瀏覽活動和歷史記錄的資料)取得存取權杖(access token)。

安全人員解釋,Tinder 的應用程式介面(API)沒有檢查 Account Kit 所提供權杖內的客戶端 ID,讓攻擊者可以使用 Account Kit 提供給其他應用程式的存取權杖,進入使用者真正的 Tinder 帳號。

趨勢科技表示,開發部署自製或第三方應用程式的公司往往要在豐富使用者體驗和保護所儲存個人或企業資料間做選擇。雖然麻煩的身份驗證系統可能會讓客戶或使用者一時不方便,但是放棄安全性可能會導致企業損失更多,特別是在實施歐盟一般資料保護法規(GDPR)之後。

趨勢科技提醒,將無密碼登錄這樣的新興技術整合到行動和 Web 應用程式,可以幫助開發人員和使用者簡化身分驗證流程,但如果做得不好,也會增加安全風險。

─ ─

(本文經合作夥伴 中央社 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 交友 App 爆漏洞 用電話號碼就能駭入 〉,首圖來源:Tinder 官方網站 。)

更多資安的相關消息

中國 iCloud 使用者爆料:與蘋果客服吵完架,iPhone 竟差點被鎖死
4G 通訊協定重大漏洞:10 種花式入侵,你怎麼被駭客玩死的都不知道
中共網路審查突破國界,在國外罵習近平一樣被抓去勞改!
思科驚爆重大漏洞,不用打密碼就能取得管理員權限,IT 們快更新啊!

點關鍵字看更多相關文章: