坑了个爹!所谓匿名应用其实都不匿名!
市民王叫兽
阅读:38901
2014-12-12 01:02:08
评论:4
备受青少年欢迎的匿名社交应用Yik Yak,在最近的安全调查中被曝存在一个严重漏洞。黑客利用该漏洞可以轻而易举地获取本该匿名的用户身份信息。这次漏洞曝光让我们开始思考:匿名软件其实一点也不匿名,也许永远也不会真正匿名。
为什么?因为很难实现绝对性的匿名。Yik Yak只是最近被曝光泄漏用户身份信息的一个社交应用。但是目前几款最流行的匿名社交应用,包括Secret、 Whisper、Yik Yak,以及所谓“阅后即焚”的非匿名应用Snapchat,它们或多或少都存在泄密的危险。
这些社交应用都有数以百万计的用户,而且都保证用户的身份是匿名的。但目前各种漏洞的趋势表明,建设一个真正的匿名应用程序是一个有点不太可能实现的梦想。在这个生态圈里,存在着GPS定位、应用商店账号、电话号码、密码,以及任何其他可能会暴露用户的身份的数据。面对这些风险,这些社交应用却还是向用户承诺会他们的身份会匿名。
“没有一个应用会真正使用Tor这样的匿名技术来让通讯匿名,”约翰霍普金斯大学信息安全研究所的马修·格林 (Matthew Green)这样说道,“他们收集了大量信息,然后在涉及到用户的匿名性时说‘请相信我们’。或许这是一个可以接受的协议,但它听起来很可怕。”
在过去的一年中爆发的与匿名应用有关的主要事件中,并不是所有的事件都是关于身份信息泄漏的。其中有些是无恶意的黑客;有些是应用漏洞曝光;有些只是数据的收集方法被曝光。但这些事件都表明:匿名应用其实并不匿名。
所以用户不应该在这些应用上交出一堆敏感信息,以防上当受骗。下面,让我们来逐个分析四个主流匿名应用的匿名风险。
Yik Yak
Yik Yak声称自己是一个“与您周围的人分享您的想法,同时保持您的隐私”的地方。这一承诺听起来有点空洞,因为近期曝光的Yik Yak漏洞是如此地简单可笑。最主要问题是:Yik Yak没有密码。如果有人知道用户ID,他就可以登录到任何人的帐户。不过,Yik Yak也将应用程序和服务器之间的数据流进行加密,所以只要你不告诉任何人你的用户ID就万事大吉了,对不对?
但事实绝非如此。应用程序通常为了进行用户跟踪和广告推送,而与其他服务器进行通信。每次应用程序启动时,Yik Yak会将用户的信息以纯文本的形式发送给分析公司Flurry。这些数据很容易被黑客截获,这也使得用户ID信息很容易找到。Yik Yak已经修复了目前发现的漏洞,但谁又能说不会有另一个呢?
Secret
秘密共享应用的大量涌现,显示所谓匿名是多么危险的一件事。Secret这款秘密共享应用让用户暴露自己最深的秘密,但Secret并没有将bot程序的行为考虑在内。在今年早些时候,两个黑客通过一个简单的脚本,使用bot程序发现了特定用户的身份。Seccret 也已经修复了该漏洞,但谁知道Secret还藏有哪些secret的安全问题呢?。
Whisper
Whisper是一个有点糟糕的应用程序。几个月前Whisper爆发丑闻,英国《卫报》透露所谓的匿名应用Whisper从不知情的用户手中收集了惊人数量的数据。该应用程序甚至在用户退出的情况下,还在记录用户的位置数据。
“该应用在没有与用户进行任何初始交互的情况下,会在程序第一次运行时生成一个唯一标识符”,一位iOS的取证专家这样说道, “这些用户标识符似乎会一直伴随着应用,即使用户希望在使用该应用程序时保持匿名,这些用户标识符依然会被分配”。所以Whisper不是完全匿名的。”
Snapchat
Snapchat并不是一个完全的匿名应用,但它以许诺隐藏某些信息为特点。换句话说,它承诺会在用户阅读邮件后删除该邮件。而像所谓“真正的”的匿名发帖应用,Snapchat也犯过几次简单而愚蠢的错误。这些错误包括,一些黑客暴露Snapchat其实并没有删除旧的信息,其实Snapchat只是把这些信息藏起来了,用户看不到而已!该公司犯这样的错误已经不是一次两次的事了。
该消息应用在一年前也被抓住过一次把柄,一组研究人员利用该应用程序的查找好友功能的基本漏洞,获取(和暴露)了460万个用户名和密码。查找好友功能用起来很爽,但它很危险。在短短几个月内,黑客使用了不同的攻击窃取用户数据。这些只是我们所了解的违规行为。很明显,Snapchat的“信任我们”的承诺已经很长一段时间没有实现了。
开发一个可以很好保护用户身份信息的应用,并非完全没有可能。就像格林指出的那样,做到真正匿名的一个方法是使用一个像Tor这样的匿名网络来保护用户。应用程序还可以减少收集数据的数量,虽然这可能会限制其推送广告。坦率地说,许多有抱负的匿名应用开发商,在开始会把安全的放在第一位。
正如格林所说:“开发一个自称是安全的炫酷的应用程序,要比开发一个实际上是安全的应用简单的多。”但是这些应用积累到数以百万计的用户,遭遇黑客攻击后,也很容易乞求用户得到原谅。这就会纵容他们不把您的个人信息摆在首位。因此,只要记住,如果您不想让任何人知道您说的什么,最安全的做法就是不要在某个应用程序里随便说话。
来源:快鲤鱼
本文 中视在线 原创,转载保留链接!网址:http://51569.com/a/8239.html