交友App爆漏洞 用電話號碼就能駭入
手機交友軟體Tinder傳漏洞,駭客只要透過電話號碼就能駭入帳號,幸好已修補漏洞;但資安業者提醒,麻煩的身分驗證系統使用雖較不便,但放棄安全性可能會使企業損失更多。
網路安全廠商趨勢科技日前在官方部落格發文表示,可根據使用者的Facebook和Spotify資料,讓互相感興趣的雙方開始聊天的知名手機交友軟體Tinder,經安全研究人員披露漏洞以及該漏洞利用Facebook AccountKit的方式。
研究人員指出,這個漏洞讓駭客只需要受害者的電話號碼就能夠接管Tinder帳號並讀取私人訊息,幸好這個漏洞已經被Tinder和Facebook迅速修復。
Facebook的Account Kit讓第三方開發者可以簡化應用程式流程,使用者只需用電子郵件地址或電話號碼就可註冊和登入。當使用者輸入上述資訊,系統就會發送一組驗證碼用來登入帳號。Tinder是利用AccountKit來管理使用者登入的服務之一。
安全人員指出,Account Kit的漏洞讓駭客只需使用者的電話號碼,就能登入Account Kit,接著駭客可從使用者的Cookie(記錄使用者瀏覽活動和歷史記錄的資料)取得存取權杖(access token)。
安全人員解釋,Tinder的應用程式介面(API)沒有檢查Account Kit所提供權杖內的客戶端ID,讓攻擊者可以使用Account Kit提供給其他應用程式的存取權杖,進入使用者真正的Tinder帳號。
趨勢科技表示,開發部署自製或第三方應用程式的公司往往要在豐富使用者體驗和保護所儲存個人或企業資料間做選擇。雖然麻煩的身份驗證系統可能會讓客戶或使用者一時不方便,但是放棄安全性可能會導致企業損失更多,特別是在實施歐盟一般資料保護法規(GDPR)之後。
趨勢科技提醒,將無密碼登錄這樣的新興技術整合到行動和Web應用程式,可以幫助開發人員和使用者簡化身分驗證流程,但如果做得不好,也會增加安全風險。
