TechCrunch 報道稱，約會應(yīng)用 Raw 的一次安全疏漏使得其用戶的個人數(shù)據(jù)和私密定位信息被公開暴露。

暴露的數(shù)據(jù)包括用戶的顯示名稱、出生日期，以及與 Raw 應(yīng)用相關(guān)的約會和性取向偏好，此外還包括用戶的位置數(shù)據(jù)。其中部分位置數(shù)據(jù)包含的坐標(biāo)具體到可以實現(xiàn)街道級定位。

Raw 應(yīng)用于 2023 年推出，是一款約會應(yīng)用，其聲稱通過要求用戶上傳每日自拍照片，能提供更加真實的互動體驗。該公司并未公開用戶數(shù)量，但其在 Google Play 商店的應(yīng)用列表中顯示，截至目前 Android 平臺的下載量已超過 500,000 次。

這次安全疏漏的消息發(fā)生在同一周內(nèi)，該初創(chuàng)公司宣布將其約會應(yīng)用擴(kuò)展到硬件領(lǐng)域，推出尚未發(fā)布的可穿戴設(shè)備 Raw Ring。據(jù)稱該設(shè)備將允許用戶追蹤其伴侶的心率及其他傳感器數(shù)據(jù)，以通過 AI 生成的見解來偵測外遇。

盡管追蹤伴侶的行為涉及道德和倫理問題，并存在情感監(jiān)控的風(fēng)險，Raw 在其網(wǎng)站及隱私政策中均聲稱，其應(yīng)用和未發(fā)布設(shè)備都采用端到端加密，這一安全功能旨在防止除用戶之外的任何人——包括公司本身——訪問數(shù)據(jù)。

TechCrunch 本周試用該應(yīng)用并對其網(wǎng)絡(luò)流量進(jìn)行了分析后發(fā)現(xiàn)，并無證據(jù)表明該應(yīng)用使用了端到端加密。相反，我們發(fā)現(xiàn)應(yīng)用竟公開向任何擁有網(wǎng)頁瀏覽器的人泄露用戶數(shù)據(jù)。

在 TechCrunch 向公司提供漏洞詳情后不久，Raw 在周三修復(fù)了數(shù)據(jù)泄露問題。

Raw 約會應(yīng)用聯(lián)合創(chuàng)始人 Marina Anderson 通過電子郵件告訴 TechCrunch：“之前暴露的所有接口現(xiàn)已得到安全加固，我們還實施了額外的防護(hù)措施，以防止將來出現(xiàn)類似問題。”

當(dāng) TechCrunch 詢問時，Anderson 確認(rèn)公司尚未對其應(yīng)用進(jìn)行第三方安全審核，并補(bǔ)充稱：“我們的重點依然放在構(gòu)建高質(zhì)量產(chǎn)品和與不斷壯大的社區(qū)進(jìn)行有意義的互動上。”

Anderson 沒有承諾會主動通知受影響用戶其信息曾被泄露，但表示公司會“依據(jù)適用法規(guī)向相關(guān)數(shù)據(jù)保護(hù)機(jī)構(gòu)提交詳細(xì)報告。”

目前尚不清楚該應(yīng)用公開泄露用戶數(shù)據(jù)的持續(xù)時間。Anderson 表示，公司仍在調(diào)查這一事件。

對于其聲稱應(yīng)用使用端到端加密的問題，Anderson 表示 Raw “在傳輸中使用加密，并對我們基礎(chǔ)設(shè)施中敏感數(shù)據(jù)實施訪問控制。經(jīng)過全面分析情況后，我們將采取進(jìn)一步措施。”

當(dāng)被問及是否計劃調(diào)整其隱私政策時，Anderson 沒有表態(tài)，且在 TechCrunch 后續(xù)郵件問詢時也未作回復(fù)。

如何發(fā)現(xiàn)泄露數(shù)據(jù)

TechCrunch 在周三對該應(yīng)用進(jìn)行簡短測試時發(fā)現(xiàn)了這一漏洞。作為測試的一部分，我們在一個虛擬化的 Android 設(shè)備上安裝了 Raw 約會應(yīng)用，這使我們無需提供任何現(xiàn)實中的數(shù)據(jù)，例如我們的實際位置即可使用該應(yīng)用。

我們創(chuàng)建了一個使用虛假數(shù)據(jù)的新用戶賬戶，例如姓名和出生日期，并將虛擬設(shè)備的位置設(shè)置為看起來像我們位于加利福尼亞州 Mountain View 的一座博物館。當(dāng)應(yīng)用請求獲取我們虛擬設(shè)備的位置時，我們允許其訪問我們精確到幾米之內(nèi)的位置數(shù)據(jù)。

我們使用了網(wǎng)絡(luò)流量分析工具來監(jiān)控和檢查 Raw 應(yīng)用中進(jìn)出的數(shù)據(jù)流，從而了解該應(yīng)用如何運作以及其上傳哪些用戶數(shù)據(jù)。

TechCrunch 在使用 Raw 應(yīng)用數(shù)分鐘內(nèi)就發(fā)現(xiàn)了數(shù)據(jù)泄露問題。我們首次加載該應(yīng)用時，發(fā)現(xiàn)它直接從公司服務(wù)器拉取用戶資料信息，但服務(wù)器并未對返回的數(shù)據(jù)進(jìn)行任何身份驗證保護(hù)。

實際上，這意味著任何人只需使用網(wǎng)頁瀏覽器，訪問暴露服務(wù)器的網(wǎng)頁地址—— api.raw.app/users/ 后跟一個獨特的 11 位數(shù)字，該數(shù)字對應(yīng)于另一位應(yīng)用用戶，即可訪問該用戶的隱私信息。將數(shù)字修改為其他用戶對應(yīng)的 11 位標(biāo)識符，即能返回該用戶資料中的私密信息，包括其位置數(shù)據(jù)。

這種漏洞被稱為不安全的直接對象引用(IDOR)，是一類由于缺乏對訪問數(shù)據(jù)的用戶進(jìn)行適當(dāng)安全檢查而可能允許他人訪問或修改他人服務(wù)器上數(shù)據(jù)的漏洞。

正如我們之前所解釋的，IDOR 漏洞類似于擁有一把能夠打開一個私人郵箱的鑰匙，但這把鑰匙也能打開同一街區(qū)中其他所有郵筒。因此，IDOR 漏洞非常容易被利用，在某些情況下還能被枚舉，從而訪問大量用戶數(shù)據(jù)記錄。

美國網(wǎng)絡(luò)安全機(jī)構(gòu) CISA 長期以來一直警告 IDOR 漏洞帶來的風(fēng)險，包括能夠“大規(guī)模”訪問通常為敏感數(shù)據(jù)。作為其 Secure By Design 計劃的一部分，CISA 在 2023 年的一份公告中曾表示，開發(fā)人員應(yīng)確保他們的應(yīng)用執(zhí)行適當(dāng)?shù)纳矸蒡炞C和授權(quán)檢查。

自 Raw 修復(fù)該漏洞以來，被暴露的服務(wù)器在瀏覽器中已不再返回用戶數(shù)據(jù)。