freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

全球最大同性社交软件Grindr存在漏洞,泄露用户信息及位置
2018-03-30 15:30:51

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

美国NBC的一份报道称,一款名为Grindr的交友应用程序存在两个安全问题,它可以暴露超过300万用户的信息,包括那些选择不共享这些信息的人的位置数据。此次漏洞是由房地产管理公司AtlasLane的首席执行官TreverFaden在创建了一个名为C*ckblocked的网站后发现的,他的网站允许用户在Grindr输入Grindr用户名和密码后查看谁屏蔽了他们。一旦用户登录成功后,Faden就可以访问用户档案中没有公开的用户数据,包括未读消息、电子邮件地址、删除的照片以及用户的位置信息。这在同性恋被定为犯罪的地方,利用用户位置数据会将同性恋者处于危险境地。

180326-grindr-app-al-1019_be0aec8cd3ff90e046368abd0e7bf043.focal-1000x500.jpg

Grindr为全球最大的同性社交网站,用户主要为男性,其在今年的1月初被北京昆仑万维科技股份有限公司收购(现持有Grindr100%的股权),其拥有的用户超过几百万遍布234个国家。

Faden利用的漏洞和英国剑桥分析公司通过漏洞在用户毫不知情的情况下收集5000万Facebook用户数据的安全漏洞很相似,这不需要大量的技术技能,就可以很容易地找到用户的准确位置。这也凸显了人们在使用社交媒体账号登录其他服务时面临的风险。

Grindr软件会公开许多用户的位置信息,但是它允许用户禁用该功能,但是Faden发现,如果用户通过他的第三方网站连接他们的Grindr配置文件,他可以找到那些选择禁用该功能的用户的位置。

180327-trever-faden-screen-grab-ew-436p_b537f20f935e0655c25f3324ab67eecf.fit-560w.jpg

Faden还发现了一个与位置信息相关的安全漏洞,该漏洞不要求用户使用Grindr凭证登录任何第三方应用程序或网站。Grindr要求用户将位置数据发送到服务器,以便应用程序正常工作。但是其中一些信息没有被编码,这意味着通过监控网络流量(如国家政府监控的公共WiFi网络上)就可以识别出任何打开该应用程序的用户位置。

Grindr于3月19日声明表示其会迅速采取行动,以解决这个问题,并提醒用户不要将用户名密码泄露给任何第三方,因为它们未被Grindr授权。Faden也表示他未分享或收集任何用户数据,并告知Grindr公司,关闭他创建的网站。

Grindr用户的位置数据特别敏感。Grindr在全球234个国家和地区拥有用户。根据国际女同性恋、男同性恋、双性恋、变性和跨性别协会(ILGA)2016年的一份报告,在70多个国家,同性恋是非法的,其中13个国家实施了对同性恋行为的死刑。因此,在同性恋被定为犯罪的地方,利用用户位置数据会将同性恋者处于危险境地。

*参考来源:nbcnews,FB小编 secist 编译,转载请注明来自FreeBuf.COM

# 漏洞 # Grindr
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者