约会应用用户面临严重安全风险

卡巴斯基实验室的研究人员发现，常用的约会应用中包含一系列漏洞，这些漏洞可能会对用户造成各种负面影响：从轻松识别出特定用户到不安全的传输数据，甚至泄露用户个人信息。通过对9家全球知名服务进行分析，我们发现有些服务采用了非常低级别的数据保护。

约会应用在全球方位内迅速流行。根据最新的报告“危险的关系：所有人都在使用这项在线服务吗？”，平均每三个人当中，就有一个人正在使用在线约会服务。但是，随着这类服务的流行，带来了一个重要的安全问题，原因自然是大多数约会服务都要求用户分享自己的个人信息。考虑到这一点，卡巴斯基实验室研究团队决定对这些应用和服务的安全性进行调查。他们对世界不同地区最受欢迎的约会应用进行了详细分析，寻找可能影响用户现实生活，并将其个人状态从“单身”改为“受害者”的各种漏洞。

研究显示，用户在使用在线约会应用时，面临多种风险。例如可以通过从社交网络个人档案中找出他们的姓名，同时还可以利用地理位置数据找到现实世界中的用户。不仅如此，用户可能会失去自己的账户，或者导致自己的个人数据落入坏人之手。

我们的专家在多个应用中发现了常规的安全风险，这些风险同基于令牌的身份验证手段相关，被约会应用用户新用户注册和登陆过程。令牌是由服务器请求创建的，以便唯一标识用户，并通常要求访问Facebook账户。之后，它提供对用户通用信息的访问，包括用户姓名、用户的电子邮件地址和他们的个人资料图片。通过使用此方法，应用程序将收到所有必需的数据，以使其能够对其服务器上的用户进行身份验证。 然而，根据研究，令牌通常被不安全地存储或使用，所以容易被盗。因此，即使没有登录和密码详细信息，入侵者也能够临时访问受害者的账户。

除了不安全的令牌存储这个漏洞外，用户还可能面临与历史消息相关的安全问题，因为这些消息存储在设备上，可以被入侵者访问。这种攻击特别对安卓设备用户具有威胁性。其中有些用户还在运行过时的软件，设备上包含为修补的漏洞，能够让攻击者获取到设备的root权限。攻击者可以利用这些权限访问隐私信息，包括用户在约会应用程序中的活动（如输入的消息和查看的照片）。

此外，我们还发现在分析的应用中，有六款可通过用户位置确定用户。卡巴斯基实验室还发现数据传输过程中的风险。 虽然大多数应用程序使用SSL（安全套接层协议）来保护与服务器的通信，但有些数据通过HTTP协议发送，并且未加密。这为黑客提供了拦截这些通信的机会，这些通信通常包含个人信息，如用户的位置、访问的个人资料、消息和设备数据等。使用不安全的连接，入侵者还可以控制受害者的账户。

“我们的研究表明，约会应用的用户应该多注意网络安全，因为许多此类服务没有得到针对多种攻击的保护。此外，用户他们的个人资料中分享敏感的个人信息，如他们受教育和工作的场所，使自己面临风险。有了这些信息，入侵者可以轻松地在Facebook和LinkedIn上找到受害者的真实账户。这些服务还提供了被跟踪和骚扰的可能性——攻击者可以骚扰用户并跟踪他们在现实生活中的活动。因此，用户在网上约会时应确保仔细监控他们的隐私、安全和数据保护，”卡巴斯基实验室安全专家Roman Unuchek说。

为避免遭受数据盗窃，卡巴斯基实验室建议用户采取以下措施：

• 避免使用保护较为薄弱的公共Wi-Fi热点，
• 使用VPN连接，确保安全连接，
• 不要分享自己的敏感ID信息，例如受教育信息以及工作场所等，
• 在设备上安装可靠的安全解决方案，例如卡巴斯基安全软件安卓版。

要了解更多有关约会应用的安全漏洞，请阅读Securelist.com上的相关博文。