可根據使用者的 Facebook 和 Spotify 資料,讓互相感興趣的雙方開始聊天的知名的手機交友軟體Tinder,經安全研究人員 Anand Prakash 披露漏洞及它利用Facebook Account Kit的方式。據研究人員稱,這漏洞讓駭客只需要受害者的電話號碼就能夠接管 Tinder 帳號並讀取私人訊息。幸好 Prakash所披露的安全漏洞已經被 Tinder 和 Facebook 迅速地修復。
[來自TrendLabs Intelligence Blog:Tinder、Grindr和OKCupid等網路應用程式是否會被惡意用在網路間諜活動?]
什麼是Facebook Account Kit?
Facebook的Account Kit讓第三方開發者可以簡化應用程式流程,使用者只需用電子郵件地址或電話號碼就可註冊和登入。當使用者輸入上述資訊,系統就會發送一組驗證碼用來登入帳號。Tinder是利用Account Kit來管理使用者登入的服務之一。
Account Kit不只用在iOS和Android。它也支援Web和行動Web應用程式(無論是否啟用JavaScript)。Account Kit支援IE 10以上版本、Edge、Chrome、Firefox、Safari和Opera。目前支援230多個國碼和40多種語言。
[閱讀:Confusius網路間諜組織如何將愛情騙局用在網路間諜活動中]
Account Kit漏洞如何被利用?
Prakash指出Account Kit的漏洞讓駭客從使用者的Cookie(記錄使用者瀏覽活動和歷史記錄的資料)取得存取權杖(access token)。Prakash說明:“Account kit存在一個漏洞,攻擊者只需使用者的電話號碼即可訪問他的Account Kit帳號。一旦進入,攻擊者便可得到Cookie所存的使用者Account Kit存取權杖(aks)”。
接著駭客可以將此漏洞與其他漏洞結合,這次是Tinder實作Account Kit的方式造成。駭客只需要能登入Account Kit的使用者電話號碼。Prakash解釋說:“Tinder API沒有檢查Account Kit所提供權杖內的客戶端ID。這讓攻擊者可以使用Account Kit提供給其他應用程式的存取權杖來進入使用者真正的Tinder帳號。“
[專家觀點:DevOps如何成為有效網路安全的典範]
我們可以從中學到什麼?
開發部署自製或第三方應用程式的公司往往要在豐富使用者體驗和保護所儲存個人或企業資料間做選擇。雖然麻煩的身份驗證系統可能會讓客戶(或使用者)一時不方便,但是放棄安全性可能會導致企業損失更多 – 特別是在實施歐盟一般資料保護法規(GDPR)之後。
比方說將無密碼登錄這樣的新興技術整合到行動和Web應用程式可以幫助開發人員和使用者簡化身份驗證流程。但如果做得不好,也會增加安全風險。隨著越來越多企業採用敏捷開發環境讓應用程式和服務以可擴展的方式部署,他們也必須採取最佳實作來確保其完整性和安全性。Tinder和Account Kit的例子凸顯出設計安全的重要性:保護應用程式生命週期的各個層面 – 從規劃、開發和部署到監控,甚至是所使用的基礎設施。
@原文出處:Vulnerabilities can Let Hackers Hijack Tinder Accounts with Just a Phone Number