来源: 时间:2022-07-21 18:35:09
根据网络安全公司AppSecure的披露,由于只有一个手机号码,Tinder帐户可能容易受到黑客的风险。该公司还向Tinder和Facebook通报了该问题。根据AppSecure的中型博客文章,两个工程团队都解决了这个问题。该漏洞是由于Facebook的帐户工具包中的漏洞以及约会应用程序自己的登录过程的实现所依赖的。Tinder要求用户同步其Facebook帐户以访问约会应用程序。
根据AppSecure的说法,Tinder中的帐户接管漏洞可确保攻击者可以使用用于登录的任何电话号码访问约会应用帐户。这家安全公司指出,在Tinder的案例中,基于手机号码的登录选项由Facebook的帐户工具包提供,该工具包存在漏洞。
对于上下文,Facebook的Account Kit将允许用户快速注册,并使用其电话号码或电子邮件地址登录已注册的应用程序,而无需密码。它可以用于不同的服务。该公司指出,帐户工具包上的漏洞将允许黑客通过任何电话号码输入帐户工具包,一旦进入,他们还可以访问该帐户的用户访问令牌,该令牌存在于cookie中。
AppSecure说,一旦攻击者可以访问此令牌,他们就可以使用该令牌进入用户的Tinder帐户。攻击者可以只输入任何人的电话号码,然后简单地访问受害者的Tinder应用程序,因为约会应用程序没有验证或将帐户令牌映射到正确的客户端帐户。 该帖子还说,一旦攻击者进入,他们就可以在Tinder上读取私人聊天,完整的个人信息,向左或向右滑动其他用户个人资料等。AppSecure表示,Facebook奖励了5000美元的安全漏洞,Tinder奖励了1250美元。
相关推荐
猜你喜欢