撰文及整理:叡揚資訊資安事業處
參考資料來源:https://www.checkmarx.com/2018/01/23/tinder-someone-may-watching-swipe-2
知名資安公司Checkmarx研究團隊在全球廣泛使用的交友軟體–Tinder發現了一個令人困擾的問題,報告中指出惡意攻擊者如何利用app的漏洞,對不知情的用戶造成嚴重的個資洩露。
你是Tinder用戶嗎??正如Rockwell在他著名的歌曲中的描述,如果你總覺得有人盯著你,那麼你將沒有了隱私(註1)。在與Tinder的資安團隊交涉後,知名資安公司Checkmarx決定揭露二個重大漏洞。Tinder於2012年問世,是第一批滑動選取的app其中之一,允許使用者藉由個人檔案的滑動選取行為建立社交關係;向右滑動取得有興趣的個人資料,向左滑動表示缺乏興趣的個人資料,向上滑動表示為“超級喜歡”。此交友平台迄今已配對超過200億人,並在196個國家/地區使用。
報告中指出在Android和iOS平台中發現相同的漏洞,允許攻擊者監控同個網路下的用戶在app上的每一個行為,攻擊者可能操控用戶看到的個人檔案,將它們換成不適當的內容,惡意的廣告或是惡意內容。雖然在此過程中不涉及憑證竊取或立即的財務損失,但是攻擊者可能針對易受攻擊的用戶進行勒索行為,威脅要從用戶的app中暴露高度私密的個人檔案。
這項研究提出了一個重要的議題,為何人們會習慣於缺乏隱私保護的情況? 民眾應知道每個APP的使用都可能存在隱私洩漏的風險。當這些漏洞揭露後,尤其是有名的app,可能會引發大量的攻擊行為。而APP的供應商是否了解已知的風險與正視此類的資安事件呢?惡意攻擊者能監控你在Tinder上的每一個行為,例如你喜歡誰,或者你決定與誰聊天肯定是令人不安的。其實大多數的app幾乎都不安全,所以棄用app就安全了嗎??是否有替代方案??使用者該不該與不安全的app劃清界線??是否要與會洩漏資料的app妥協?這些問題是極度重要且也應該被要求的。答案最終將取決於免費app提供商的努力及態度。隨著歐盟GDPR規範問世,將可以預期app的安全性需求將更加嚴苛。話雖如此用戶仍須提升自我的資安意識,並且對於隱私權受損的影響程度有清楚的認知。
在所有app提供商實施全面性的安全測試之前我們仍需保持謹慎的態度。這意味著使用者可以採取以下自我保護的方式:
1.盡可能地避免使用公共網絡(如機場Wifi、不須認證的Wifi,或是使用前需確認是否為官方提供)
2.盡可能使用HTTPS加密的通訊協定
3.盡可能使用通過實驗室認證的app
https://www.gss.com.tw/index.php/checkmarx
GSS資安電子報0149期【最新網頁常見10大風險- OWASP TOP 10 2017】
GSS資安電子報0151期【持續耕耘資安領域,叡揚代理源碼檢測工具- Checkmarx榮獲Gartner評鑑為『2017應用安全測試魔力象限』領導者】
