據(jù)外媒報(bào)道，最新研究表明，熱門約會交友應(yīng)用Tinder目前仍缺乏必要的加密技術(shù)，確保用戶照片、滑動操作和匹配信息的私密性。

本周二，以色列移動應(yīng)用信息安全公司Checkmarx的研究人員指出，Tinder仍缺乏基本的HTTPS加密技術(shù)。只要與Tinder用戶處于相同的WiFi網(wǎng)絡(luò)中，研究人員就可以查看該用戶的任何照片，甚至將其他照片注入到用戶的照片流中。

此外，盡管Tinder的其他數(shù)據(jù)通過HTTPS技術(shù)進(jìn)行了加密，但Checkmark發(fā)現(xiàn)，Tinder泄露了足夠多的信息，從而讓黑客可以識別出加密命令，處于同一WiFi網(wǎng)絡(luò)的黑客可以很容易地查看用戶手機(jī)上的每一次滑動操作和匹配。研究人員認(rèn)為，缺乏保護(hù)機(jī)制將帶來許多問題，包括信息被偷窺，以及可能的敲詐勒索。

Checkmarx應(yīng)用信息安全研究經(jīng)理埃利澤·耶倫（Erez Yalon）表示：“我們可以準(zhǔn)確模擬用戶在屏幕上看到的東西。你知道所有一切：他們在干什么，他們的性取向是什么，以及其他許多信息。”

為了展示Tinder的漏洞，Checkmarx開發(fā)了概念驗(yàn)證軟件TinderDrift。如果將安裝該軟件的筆記本電腦連接至Tinder用戶所在的WiFi網(wǎng)絡(luò)，那么軟件就可以自動重建整個(gè)會話。

TinderDrift利用的最主要漏洞在于，Tinder缺少HTTPS加密機(jī)制。該應(yīng)用通過不受保護(hù)的HTTP協(xié)議去傳輸圖片，因此網(wǎng)絡(luò)上的任何人都可以很容易地竊取這些信息。此外，研究人員還使用了額外的技巧，從Tinder已加密的數(shù)據(jù)中提取信息。

Checkmarx表示，已于11月通知Tinder這個(gè)問題，但問題尚未解決。

Tinder發(fā)言人在回應(yīng)中稱：“與其他科技公司一樣，我們在與惡意黑客的斗爭中持續(xù)提升自己的防御能力。”他同時(shí)指出，Tinder上的個(gè)人資料照片是公開的。（但基于這些照片的用戶互動，例如滑動和匹配操作并不是。）此外他還表示，網(wǎng)頁版Tinder實(shí)際上已經(jīng)實(shí)現(xiàn)了HTTPS加密，而該公司計(jì)劃在更大的范圍內(nèi)應(yīng)用這項(xiàng)技術(shù)。

他表示：“我們也嘗試在應(yīng)用中加密圖像。不過，我們不會進(jìn)一步透露所使用的信息安全工具，或是我們即將部署的優(yōu)化的細(xì)節(jié)，以免被黑客攻擊。”

過去幾年，對所有重視隱私保護(hù)的應(yīng)用和網(wǎng)站來說，HTTPS已成為事實(shí)標(biāo)準(zhǔn)。Checkmarx的研究人員表示，盡管加密在某些情況下會增加性能成本，但當(dāng)代服務(wù)器和手機(jī)可以輕松處理這些額外開銷。耶倫指出：“現(xiàn)在沒有任何理由不使用HTTPS。”

Checkmarx表示，為了修復(fù)這些漏洞，Tinder不僅應(yīng)當(dāng)對照片加密，還應(yīng)在應(yīng)用中“填充”其他命令，讓每條命令看起來都是同樣大小，使這些命令在隨機(jī)數(shù)據(jù)流中無法被識別。