[新聞] 交友App爆漏洞用電話號碼就能駭入 - Z_sports板

首頁(home) 上頁(↑) 下頁(↓) 末頁(end)

※ 本文為 JackLee5566.bbs. 轉寄自 ptt.cc 更新時間: 2018-03-12 00:08:53

看板 MobileComm

作者 olmtw (支持htc，支持台灣貨)
標題 [新聞] 交友App爆漏洞用電話號碼就能駭入
時間 Sun Mar 11 18:23:10 2018

交友App爆漏洞用電話號碼就能駭入

2018-03-11 13:14中央社台北11日電

手機交友軟體Tinder傳漏洞，駭客只要透過電話號碼就能駭入帳號，
幸好已修補漏洞；但資安業者提醒，麻煩的身分驗證系統使用雖較不
便，但放棄安全性可能會使企業損失更多。

網路安全廠商趨勢科技日前在官方部落格發文表示，可根據使用者的
Facebook和Spotify資料，讓互相感興趣的雙方開始聊天的知名手機
交友軟體Tinder，經安全研究人員披露漏洞以及該漏洞利用

Facebook AccountKit的方式。

研究人員指出，這個漏洞讓駭客只需要受害者的電話號碼就能夠接管
Tinder帳號並讀取私人訊息，幸好這個漏洞已經被Tinder和Facebook
迅速修復。

Facebook的Account Kit讓第三方開發者可以簡化應用程式流程，使
用者只需用電子郵件地址或電話號碼就可註冊和登入。當使用者輸入
上述資訊，系統就會發送一組驗證碼用來登入帳號。Tinder是利用

AccountKit來管理使用者登入的服務之一。

安全人員指出，Account Kit的漏洞讓駭客只需使用者的電話號碼，
就能登入Account Kit，接著駭客可從使用者的Cookie（記錄使用者
瀏覽活動和歷史記錄的資料）取得存取權杖（access token）。

安全人員解釋，Tinder的應用程式介面（API）沒有檢查Account Kit
所提供權杖內的客戶端ID，讓攻擊者可以使用Account Kit提供給其
他應用程式的存取權杖，進入使用者真正的Tinder帳號。

趨勢科技表示，開發部署自製或第三方應用程式的公司往往要在豐富
使用者體驗和保護所儲存個人或企業資料間做選擇。雖然麻煩的身份
驗證系統可能會讓客戶或使用者一時不方便，但是放棄安全性可能會
導致企業損失更多，特別是在實施歐盟一般資料保護法規（GDPR）之
後。

趨勢科技提醒，將無密碼登錄這樣的新興技術整合到行動和Web應用
程式，可以幫助開發人員和使用者簡化身分驗證流程，但如果做得不
好，也會增加安全風險。

手機交友軟體Tinder傳漏洞，駭客只要透過電話號碼就能駭入帳號，幸好已修補漏洞；但資安業者提醒，麻煩的身分驗證系統使用... ...

居然有漏洞！有在用這個Tinder程式的朋友們可要好好注意了
原來是因為沒有好好檢查，希望這家公司得趕快修復啊，不然事情可就大條了
小心！

--
◆投票名稱: 八卦板板主選舉 - 2017/7/1~2018/2/28
◆投票結果:(共有 1246 人投票,每人最多可投 2 票)

選項總票數得票率得票分布

olmtw 19 票 1.52% 0.87%

0.87%，是我

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 150.116.200.24
※ 文章代碼(AID): #1QfGEHSI (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1520763793.A.712.html

推 Paravion : 五樓Grindr被駭導致被彪形大漢輪姦1F 03/11 19:25

→ tornado1621 : 最可憐的是以為這裡是八卦板耍寶的人2F 03/11 19:52

→ seoiotoshi : 這議題po在這個版，應該著重在資安上吧！3F 03/11 19:56

推 tf310244 : 同意二樓唉4F 03/11 21:23

※ 看板: Z_sports　文章推薦值: 0 目前人氣: 0 累積人氣: 79　

分享網址: 複製

DispBBS

r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄同主題: =)首篇 [)上篇 ])下篇