热门应用Tinder被曝安全漏洞：黑客可获照片

据外媒报道，最新研究表明，热门约会交友应用Tinder目前仍缺乏必要的加密技术，确保用户照片、滑动操作和匹配信息的私密性。

本周二，以色列移动应用信息安全公司Checkmarx的研究人员指出，Tinder仍缺乏基本的HTTPS加密技术。只要与Tinder用户处于相同的WiFi网络中，研究人员就可以查看该用户的任何照片，甚至将其他照片注入到用户的照片流中。

此外，尽管Tinder的其他数据通过HTTPS技术进行了加密，但Checkmark发现，Tinder泄露了足够多的信息，从而让黑客可以识别出加密命令，处于同一WiFi网络的黑客可以很容易地查看用户手机上的每一次滑动操作和匹配。研究人员认为，缺乏保护机制将带来许多问题，包括信息被偷窥，以及可能的敲诈勒索。

Checkmarx应用信息安全研究经理埃利泽・耶伦（Erez Yalon）表示：“我们可以准确模拟用户在屏幕上看到的东西。你知道所有一切：他们在干什么，他们的性取向是什么，以及其他许多信息。”

为了展示Tinder的漏洞，Checkmarx开发了概念验证软件TinderDrift。如果将安装该软件的笔记本电脑连接至Tinder用户所在的WiFi网络，那么软件就可以自动重建整个会话。

TinderDrift利用的最主要漏洞在于，Tinder缺少HTTPS加密机制。该应用通过不受保护的HTTP协议去传输图片，因此网络上的任何人都可以很容易地窃取这些信息。此外，研究人员还使用了额外的技巧，从Tinder已加密的数据中提取信息。

Checkmarx表示，已于11月通知Tinder这个问题，但问题尚未解决。

Tinder发言人在回应中称：“与其他科技公司一样，我们在与恶意黑客的斗争中持续提升自己的防御能力。”他同时指出，Tinder上的个人资料照片是公开的。（但基于这些照片的用户互动，例如滑动和匹配操作并不是。）此外他还表示，网页版Tinder实际上已经实现了HTTPS加密，而该公司计划在更大的范围内应用这项技术。

他表示：“我们也尝试在应用中加密图像。不过，我们不会进一步透露所使用的信息安全工具，或是我们即将部署的优化的细节，以免被黑客攻击。”

过去几年，对所有重视隐私保护的应用和网站来说，HTTPS已成为事实标准。Checkmarx的研究人员表示，尽管加密在某些情况下会增加性能成本，但当代服务器和手机可以轻松处理这些额外开销。耶伦指出：“现在没有任何理由不使用HTTPS。”

Checkmarx表示，为了修复这些漏洞，Tinder不仅应当对照片加密，还应在应用中“填充”其他命令，让每条命令看起来都是同样大小，使这些命令在随机数据流中无法被识别。