春節(jié)這幾天，你的朋友圈有沒(méi)有被來(lái)自“朋友印象”的邀請(qǐng)刷屏呢？

這個(gè)可以匿名評(píng)論朋友的神器讓很多童鞋愉快地發(fā)泄了心中的欲火。在匿名功能的加持下，這片戰(zhàn)場(chǎng)交織著吐槽，攪拌著表白，勾兌著八卦，彌漫起讓人興奮的“邪惡”氣息。

然而，根據(jù)安全公司青天科技在漏洞平臺(tái)烏云上提交的信息，這個(gè)App存在一個(gè)致命漏洞——匿名的用戶信息可以被泄露。也就是說(shuō)：你借著匿名掩護(hù)所說(shuō)過(guò)的一切，都有可能大白于天下。

納尼？你有沒(méi)有天地崩壞的感覺(jué)？

安全公司啟明星辰 VP shotgun 對(duì)雷鋒網(wǎng)表示，

在使用這個(gè)APP的時(shí)候發(fā)現(xiàn)一個(gè)奇怪的現(xiàn)象，當(dāng)把某個(gè)實(shí)名用戶拉進(jìn)黑名單以后，對(duì)這個(gè)實(shí)名用戶相應(yīng)的匿名用戶發(fā)送消息就會(huì)失敗，利用這個(gè)邏輯就可以判斷出某個(gè)匿名用戶的身份。

如果進(jìn)一步來(lái)看的話，這就意味著服務(wù)器并沒(méi)有對(duì)用戶進(jìn)行匿名轉(zhuǎn)換，客戶端層面是可以讀取到用戶的實(shí)名信息的，青天科技的安全研究員用調(diào)試工具進(jìn)行了測(cè)試，果然和猜測(cè)相符，能夠讀取到用戶的實(shí)名信息。

【烏云平臺(tái)上的漏洞概要】

也就是說(shuō)，其實(shí)用戶的實(shí)名信息就在App之中，只不過(guò)App設(shè)計(jì)者為這些名字打了碼，一般的用戶沒(méi)有辦法查看到實(shí)名信息。但是，如果采用技術(shù)分析工具，卻能夠在本地手機(jī)上做到去匿名化。

其實(shí)，從邏輯上來(lái)講這個(gè)漏洞并沒(méi)有那么嚴(yán)重。畢竟一般的用戶沒(méi)有很強(qiáng)的黑客技巧，很難拿到匿名者的信息，從應(yīng)用體驗(yàn)方面來(lái)說(shuō)并無(wú)大礙。

shotgun告訴雷鋒網(wǎng)：

泄露用戶隱私的漏洞屬于中等危害，并不屬于最嚴(yán)重的那種，然而，朋友印象這類(lèi)匿名社交，其主打的核心功能之一就是匿名評(píng)論和聊天，因此匿名可讀這個(gè)問(wèn)題就會(huì)嚴(yán)重很多，可以說(shuō)是破壞了這個(gè)應(yīng)用的根基。

他還表示，從這個(gè)漏洞來(lái)看，開(kāi)發(fā)團(tuán)隊(duì)在安全架構(gòu)和設(shè)計(jì)方面存在較大的缺陷，說(shuō)不定還會(huì)存在其他類(lèi)型的漏洞。建議開(kāi)發(fā)者進(jìn)行一次全面的檢查。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。