卡巴斯基实验室的安全研究人员透露,一些受欢迎的交友软件容易受到各种攻击,这将导致泄露个人用户的详细信息,包括姓名、雇主姓名,甚至他们的住所信息。研究人员在对受欢迎的交友软件( Tinder、Bumble、OkCupid、Badoo、Mamba、Zoosk、Happn、WeChat 和 Paktor )进行调查后,根据个人资料中提供的数据,确定了用户的真实身份。另外,通过了解用户的雇主,研究领域或他们的学校,可以找到用户的社交媒体帐户,从而知道他们的真实姓名。
卡巴斯基表示,他们在其他社交媒体网站上识别 Happn 和 Paktor 用户的准确率为 100%。Tinder 和 Bumble 的成功率分别下降到 60% 和 50%,这仍然相当惊人。上述九个应用程序中的六个显示了用户的某种形式的位置数据,例如用户和他们感兴趣的人之间的距离。通过移动并记录两个用户之间的距离数据,“很容易确定猎物的位置”。Happn 的表现似乎是最糟糕的,能显示与其他用户的具体距离数据。该应用程序甚至显示了两个人擦肩而过的次数,使其更容易跟踪某人。
卡巴斯基调查的大部分应用程序都是通过 SSL 加密渠道查询将数据传输到服务器,但并不总是如此。在 Android 版本的 Mamba 中使用的分析模型不会加密有关移动设备的数据,而 iOS 版本以一种一个未加密的方式传输消息等所有数据。同时,通过 HTTP 上传照片,可以让攻击者确定潜在的受害者浏览哪些个人资料。更糟糕的是,研究人员发现,九个应用程序中有五个易受 “中间人攻击”,因为它们没有验证证书的真实性。几乎所有的应用程序通过 Facebook 授权,意味着缺乏证书验证可能导致窃取临时授权密钥。
卡巴斯基表示,这可以让社会媒体账户数据的犯罪访问长达三周左右。Android 用户需要担心更多,因为九个应用程序中有八个“通过超级用户访问权限为 *** 犯罪分子提供了太多信息”。在 iOS 中获得 root 访问权限的恶意软件很少见。卡巴斯基表示,其事先向开发人员通报了其调查结果,并补充说,有些已经解决了问题,而其他仍在修复问题。
稿源:cnBeta,封面源自 *** ;
宾夕法尼亚州立大学和卡塔尔哈马德-本-哈利法大学的研究人员表示,推特上的推文所表达的情绪和情感可以被实时用来评估大流行病、战争或自然灾害供应链中断可能导致的粮食短缺。 他们发现,在COVID-19大流行的早期,在美国某些州,表达愤怒、厌恶或恐惧的与食品安全有关的推文与实际的食品不足密切相关。研究人员...
在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上,两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家,Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。此前这对搭档曾于 2012、2018 和 2021 年创下...
Facebook动态消息(News Feed)因为存在重大排序错误,过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞,动态消息抬高了虚假、暴力信息的权重。去年10月,工程师发现推送有问题,当时动态消息中的虚假信息明显增多。 虚假信息本来是经过事实核查员审查过的,应该早早得到抑制,但这些信息却四处...
尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的,但他们散播的成品也并非毫无破绽。比如近日,安全研究人员 John Page(又名 hyp3rlinx)就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知,John Page 专精于找到恶意软件本身的漏洞,并于近日分...
以美国为首的“五眼”网络安全部门,刚刚向其盟友(包括英国、加拿大、澳大利亚和新西兰)发出了关键网络基础设施的维护警告。美国家安全局(NSA)给出的理由是 —— 受俄罗斯支持的黑客组织,或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕,并遵循联合咨询中提当过的缓解...
Hackernews 编译,转载请注明出处: 在流行的包管理器中已经揭露多个安全漏洞,如果被潜在黑客利用,可能被滥用来运行任意代码和访问敏感信息,包括受感染设备的源代码和访问令牌。 然而,值得注意的是,这些漏洞要求目标开发人员同时处理一个受影响的软件包管理器和一个恶意软件包。 So...