可根據使用者的 Facebook 和 Spotify 資料,讓互相感興趣的雙方開始聊天的知名的手機交友軟體Tinder,經安全研究人員 Anand Prakash 披露漏洞及它利用Facebook Account Kit的方式。據研究人員稱,這漏洞讓駭客只需要受害者的電話號碼就能夠接管 Tinder 帳號並讀取私人訊息。幸好 Prakash所披露的安全漏洞已經被 Tinder 和 Facebook 迅速地修復。
[來自TrendLabs Intelligence Blog:Tinder、Grindr和OKCupid等網路應用程式是否會被惡意用在網路間諜活動?]
什麼是Facebook Account Kit?
Facebook的Account Kit讓第三方開發者可以簡化應用程式流程,使用者只需用電子郵件地址或電話號碼就可註冊和登入。當使用者輸入上述資訊,系統就會發送一組驗證碼用來登入帳號。Tinder是利用Account Kit來管理使用者登入的服務之一。
Account Kit不只用在iOS和Android。它也支援Web和行動Web應用程式(無論是否啟用JavaScript)。Account Kit支援IE 10以上版本、Edge、Chrome、Firefox、Safari和Opera。目前支援230多個國碼和40多種語言。
[閱讀:Confusius網路間諜組織如何將愛情騙局用在網路間諜活動中]
Account Kit漏洞如何被利用? 繼續閱讀