【猎云网(微信号:ilieyun
)】8月14日报道(编译:Henry)
Google Play应用商店中充斥着各种专为情侣或夫妻打造的跟踪监控APP,这些用户往往希望通过该类APP在暗中监视着他们爱人的行踪与举动。正如Forbes之前所详述的那样,这类APP通常是因情侣或夫妻之间的互相猜疑而被使用,并往往由监视者在对方不知情的情况下安装在受害者的手机上。但事实证明,大部分这类APP都有一些严重的漏洞,这可能会让任何人都可以入侵并监视运行该软件的手机。
其中有一个最揪心的案例,一个名为Couple Vow的应用程序泄露了170万名用户的密码,而且泄露的文件完全没有受到保护并且内容是纯文本的。任何有权访问帐户的人不仅仅可以查到被跟踪者的位置、短信和通话记录,还可以看到任何通过应用程序的消息传递功能发送的所有内容。应用程序数据库中一个简单的漏洞意味着黑客可以在这些数据中获取170万用户的数据。甚至在某些情况下,这些数据还包括用户的裸体照片。
德国Fraunhofer安全信息技术研究所的研究人员在周六于拉斯维加斯举行的DEF CON黑客大会上发表了他们的研究结果。他们的谈话主题被直言不讳地命名为“我们知道你家里所有的秘密——监控追踪APP中堪忧的安全问题”。
Couple Vow这款监视APP可谓是不堪一击。在一个案例中,研究人员只需要使用GET请求从应用服务器请求数据,无需输入任何用户名或密码就可以得到所有用户的登录数据。这表明,任何有连接到互联网的人都可以读取这些数据。SIT安全研究员Siegfried Rasthofer 告诉Forbes :“你甚至不必攻击服务器,单个GET请求就可以获得所有数据,因为这些数据根本没有任何加密。”
该APP中的另一个漏洞允许研究人员一次可以导出9张相片。当他们试图利用漏洞来查看他们自己的图像是否可以访问时,他们不意间还发现了其他用户照片,包括一些裸照。(研究人员实际上没有下载任何其他人的图像,这些照片只是存储在浏览器中的预览图像,其缓存会被迅速删除。)
Couple Vow的开发人员对于这些问题并没有做出回应。
去年,Rasthofer和他的同事Stephan Huber和Steven Arzt也对另外18个拥有数百万用户的跟踪监控APP进行了研究检查。并且发现这些APP都有可被利用来直接访问用户帐户的漏洞,利用这些漏洞可以绕过登录或者进行不受保护的通信访问。
去年,一些监控APP公司被怀有恶意的黑客入侵。据报道,当时泰国公司FlexiSpy和美国公司Retina-X遭到了损害。
谷歌对此仍未做出回应
一些应用程序开发人员回应了Rasthofer的警告,但许多易受黑客攻击的监视APP仍然没有下架,其中包括Couple Vow。
Rasthofer对谷歌的回应表示很不满,他说:“与谷歌的沟通并不那么顺利,谷歌那边回应很慢,我们不得不一直催着他们……这些问题并没有直接影响谷歌本身——这可能就是谷歌不想回应的原因。”他还表示谷歌从Play商店中下架了一些应用程序,但这些有问题的监控APP依然逍遥法外。
事实的确如此,谷歌公开讲话时并未对这些问题作出任何回复。
