TechCrunch 報道稱，約會應用 Raw 的一次安全疏漏使得其用戶的個人數據和私密定位信息被公開暴露。

暴露的數據包括用戶的顯示名稱、出生日期，以及與 Raw 應用相關的約會和性取向偏好，此外還包括用戶的位置數據。其中部分位置數據包含的坐標具體到可以實現街道級定位。

Raw 應用于 2023 年推出，是一款約會應用，其聲稱通過要求用戶上傳每日自拍照片，能提供更加真實的互動體驗。該公司并未公開用戶數量，但其在 Google Play 商店的應用列表中顯示，截至目前 Android 平臺的下載量已超過 500,000 次。

這次安全疏漏的消息發生在同一周內，該初創公司宣布將其約會應用擴展到硬件領域，推出尚未發布的可穿戴設備 Raw Ring。據稱該設備將允許用戶追蹤其伴侶的心率及其他傳感器數據，以通過 AI 生成的見解來偵測外遇。

盡管追蹤伴侶的行為涉及道德和倫理問題，并存在情感監控的風險，Raw 在其網站及隱私政策中均聲稱，其應用和未發布設備都采用端到端加密，這一安全功能旨在防止除用戶之外的任何人——包括公司本身——訪問數據。

TechCrunch 本周試用該應用并對其網絡流量進行了分析后發現，并無證據表明該應用使用了端到端加密。相反，我們發現應用竟公開向任何擁有網頁瀏覽器的人泄露用戶數據。

在 TechCrunch 向公司提供漏洞詳情后不久，Raw 在周三修復了數據泄露問題。

Raw 約會應用聯合創始人 Marina Anderson 通過電子郵件告訴 TechCrunch：“之前暴露的所有接口現已得到安全加固，我們還實施了額外的防護措施，以防止將來出現類似問題?！?

當 TechCrunch 詢問時，Anderson 確認公司尚未對其應用進行第三方安全審核，并補充稱：“我們的重點依然放在構建高質量產品和與不斷壯大的社區進行有意義的互動上。”

Anderson 沒有承諾會主動通知受影響用戶其信息曾被泄露，但表示公司會“依據適用法規向相關數據保護機構提交詳細報告?！?

目前尚不清楚該應用公開泄露用戶數據的持續時間。Anderson 表示，公司仍在調查這一事件。

對于其聲稱應用使用端到端加密的問題，Anderson 表示 Raw “在傳輸中使用加密，并對我們基礎設施中敏感數據實施訪問控制。經過全面分析情況后，我們將采取進一步措施?！?

當被問及是否計劃調整其隱私政策時，Anderson 沒有表態，且在 TechCrunch 后續郵件問詢時也未作回復。

如何發現泄露數據

TechCrunch 在周三對該應用進行簡短測試時發現了這一漏洞。作為測試的一部分，我們在一個虛擬化的 Android 設備上安裝了 Raw 約會應用，這使我們無需提供任何現實中的數據，例如我們的實際位置即可使用該應用。

我們創建了一個使用虛假數據的新用戶賬戶，例如姓名和出生日期，并將虛擬設備的位置設置為看起來像我們位于加利福尼亞州 Mountain View 的一座博物館。當應用請求獲取我們虛擬設備的位置時，我們允許其訪問我們精確到幾米之內的位置數據。

我們使用了網絡流量分析工具來監控和檢查 Raw 應用中進出的數據流，從而了解該應用如何運作以及其上傳哪些用戶數據。

TechCrunch 在使用 Raw 應用數分鐘內就發現了數據泄露問題。我們首次加載該應用時，發現它直接從公司服務器拉取用戶資料信息，但服務器并未對返回的數據進行任何身份驗證保護。

實際上，這意味著任何人只需使用網頁瀏覽器，訪問暴露服務器的網頁地址—— api.raw.app/users/ 后跟一個獨特的 11 位數字，該數字對應于另一位應用用戶，即可訪問該用戶的隱私信息。將數字修改為其他用戶對應的 11 位標識符，即能返回該用戶資料中的私密信息，包括其位置數據。

這種漏洞被稱為不安全的直接對象引用(IDOR)，是一類由于缺乏對訪問數據的用戶進行適當安全檢查而可能允許他人訪問或修改他人服務器上數據的漏洞。

正如我們之前所解釋的，IDOR 漏洞類似于擁有一把能夠打開一個私人郵箱的鑰匙，但這把鑰匙也能打開同一街區中其他所有郵筒。因此，IDOR 漏洞非常容易被利用，在某些情況下還能被枚舉，從而訪問大量用戶數據記錄。

美國網絡安全機構 CISA 長期以來一直警告 IDOR 漏洞帶來的風險，包括能夠“大規模”訪問通常為敏感數據。作為其 Secure By Design 計劃的一部分，CISA 在 2023 年的一份公告中曾表示，開發人員應確保他們的應用執行適當的身份驗證和授權檢查。

自 Raw 修復該漏洞以來，被暴露的服務器在瀏覽器中已不再返回用戶數據。