你以為你在匿名聊天?小心被人扒了底褲!

你以為你在匿名聊天?小心被人扒了底褲!
On the internet nobody knows you're a dog.
— Bill Gates

話說2016春節火爆朋友圈的不是春節晚會的笑話,而是pyyx。pyyx是什麼?請自動看你的輸入法聯想什麼。如果說是「便宜一點」,那你可是個講價狗,如果是「培養一下」那你可是有yp黨的嫌疑。

你以為你在匿名聊天?小心被人扒了底褲!

好了,我們不調皮了,pyyx其實就是「朋友印象」,一款匿名社交APP。

看到小夥伴們玩的這麼高興,由不得小編的手也癢了起來,分別用客服和個人的微信進行了測試。

你以為你在匿名聊天?小心被人扒了底褲!

然而當我看到了親爸給點讚我也不知道該如何說好了。

你以為你在匿名聊天?小心被人扒了底褲!

還有本人一邊倒的判定為外貌協會的。

除此之外小編在網上發現了一個問題。膽小,不自信的人多會用匿名社交、聊天軟體來表達愛慕之心。

你以為你在匿名聊天?小心被人扒了底褲!

此圖作者說,他企圖通過語言特點與經驗判斷匿名的人是誰。小編由此突然有了一個想法,那我們能不能找到此軟體的漏洞從而得知匿名者是誰呢?

因此小編馬上開始咨詢了這方面Newsky的技術天才song。沒想到song真的就發現了朋友印象這款APP的問題。太多的技術細節我也不便多說,簡單來說就是朋友印象APP的加密在應用層上,很容易就破解抓取到明文數據。

——-此處略去幾千字技術解釋——-

總之一句話,還真被他做到了。我能很輕鬆的就得到本來匿名和我聊天的人的微信ID。

閒話不多說,馬上開始測試之。

<! link to web Tools>

你就假裝已經拿到了工具好了,因為偉大的黑客界人物,我們的精神導師shotgun教導我們,一定要做好白帽子,廠商還沒確認就不能給工具。

Step1:打開song 開發的工具,界面是土了點,但是滿滿的技術架式。

你以為你在匿名聊天?小心被人扒了底褲!

Step2:輸入你的帳號密碼登錄工具。中國區號86。

你以為你在匿名聊天?小心被人扒了底褲!
點擊藍色的按鈕「登錄」,再點擊「點這裡獲取聊天記錄……」下面的文本框顯示出「X個匿名聊天」等字樣的時候說明你登錄成功。

Step3,將第一個對話框的內容全選復制黏貼到第二個對話框中。點擊「處理聊天記錄」。

你以為你在匿名聊天?小心被人扒了底褲!
就會得到如下效果。

你以為你在匿名聊天?小心被人扒了底褲!
每個匿名人和你聊天的最後一句話都會以文字鏈接的形式顯示。你點擊進去就可以查看這個人的微信昵稱了哦。

這裡面分為兩種情況:

你以為你在匿名聊天?小心被人扒了底褲!
A 對方沒有註冊朋友印象通過鏈接與你進行聊天,工具抓取來的數據如框1便顯示的直接是他的微信昵稱。

你以為你在匿名聊天?小心被人扒了底褲!
B 對方註冊了朋友印象與你聊天工具抓取來的數據如框2顯示,需要仔細查找下面的字段才能得知對方的微信昵稱。

你以為你在匿名聊天?小心被人扒了底褲!

你以為你在匿名聊天?小心被人扒了底褲!

你以為你在匿名聊天?小心被人扒了底褲!

你以為你在匿名聊天?小心被人扒了底褲!

想不到突然跳出來嚇人還挺好玩的。

本漏洞已經提交給烏雲並已報廠商確認中,細節內容不便多說,希望大家多多包涵。

你以為你在匿名聊天?小心被人扒了底褲!

匿名聊天服務的興起,有人說是因為自卑,色情,不顧情面的衝動。然而當你開始以為可以盡情對自己邪惡的一面的放縱的時候,也觸發了一部分人不可扼制的窺私欲。因此對於這種匿名社交服務提供商而言,個人信息安全的保護更為重要。希望國內的互聯網公司也都能將重視安全問題擺到前台來。

為了更好地普及小白,我們特意採訪了shotgun,以下為安在和shotgun的簡短對話:

安在:這是一個什麼樣的漏洞?

shotgun:這是一個應用程序泄露用戶隱私的漏洞,用戶選擇匿名評論,肯定是不希望被評論者得知自己的身份,然而由於存在這個漏洞,被評論者就可以獲取匿名評論者的個人信息。

安在:你是怎麼發現這個漏洞的?
shotgun:這個漏洞是我和西雅圖的另一位同事一起發現的。我在使用這個APP的時候發現一個奇怪的現象,當我把某個實名用戶拉進黑名單以後,對這個實名用戶相應的匿名用戶發送消息就會失敗,這當然是工程師在做到封鎖邏輯的時候出現了錯誤,但是往深裡去想的話,這就意味著服務器並沒有對用戶進行匿名轉換,客戶端層面是可以讀取到用戶的實名信息的,西雅圖負責移動安全的同事用調試工具測試了一下,果然如此。

安在:這個漏洞嚴重嗎?
shotgun:一般來說,泄露用戶隱私的漏洞屬於中等危害,並不屬於最嚴重的那種,然而,朋友印象這類匿名社交,其主打的核心功能之一就是匿名評論和聊天,很多用戶也是因為匿名才能夠暢所欲言地吐槽,因此匿名可讀這個問題就會嚴重很多,可以說是破壞了這個應用的根基。

我們已經把這個漏洞上報烏雲:http://www.wooyun.org/bugs/wooyun-2016-0176194,烏雲給這個漏洞的評級是:危害等級高。

同時,我們從這個漏洞的出現,也可以看到,該應用的開發團隊在安全架構和設計方面存在較大的缺陷,所以一定還會存在其他類型的漏洞,我們也建議開發團隊能夠本著對用戶負責的態度全面地檢查一下。

安在:其他的應用也會有類似的漏洞嗎?
shotgun:是的,某國內著名的社區應用,以及某國內著名的問答網站應用,都存在/曾經存在類似的漏洞,包括且不僅限於:匿名用戶信息可讀、用戶間私密簡訊可讀、強迫任意關注等。

例如,在幾個月前,筆者曾經發現國內某知名問答社區存在可以讀取匿名用戶信息的漏洞,雖然用戶從網站或者APP看不到匿名用戶的信息,然而只需要稍微使用一些小技巧就可以通過系統的返回判斷出匿名用戶是誰,該漏洞的機理和今天這個漏洞是幾乎一樣的,沒有在底層對匿名信息進行處理。問答社區爆出匿名泄露的漏洞對用戶的影響可以說是很大的,因為用戶在回答問題的時候如果選擇匿名,往往是因為不想泄露個人隱私,或者擔心回答會引來爭吵、謾罵,而匿名泄露等於完全去掉了用戶的這層保護,很可能會引發很多的矛盾和衝突。

可以說在移動互聯網飛速增長的同時,移動互聯網的安全卻停滯不前,很多在電腦時代大家耳熟能詳的信息安全老坑,在移動互聯網時代還得一個一個地填平。

安在:為什麼會出現類似的漏洞?
shotgun:一方面,很多移動互聯網開發團隊急於出活,缺乏對安全的重視,這體現在:
1、很多移動應用缺少安全的設計。由於開發工期緊,很多移動應用並沒有加入安全的設計,而是先完成功能,趕緊上線,安全問題以後再說。用戶認證、傳輸加密、防盜號、隱私保護、防跨站腳本、防數據庫注入、防破解逆向等等功能都完全沒有,幾乎就是不設防。

2、開發過程中沒有重視安全功能的做到。有些應用,雖然設計了安全功能,但是做到的時候馬虎大意,使得安全功能形同虛設,很容易被繞過。

3、上線前缺少安全測試;我們知道但凡是程序就必然有BUG,安全功能也不例外,而安全功能的BUG會更加隱蔽,因為正常使用時很難暴露,發現的人往往也是奇貨可居不會主動上報,這就更加需要對應用進行全面的安全測試了,例如使用http://apprisk.newskysecurity.com的掃描工具對朋友印象的APP進行掃描,發現其中有十幾個安全漏洞,其中包括了客戶端使用明文對用戶密碼進行傳輸(意味著你在公開的網路上登錄就很可能會丟失密碼)。

另一方面,很多移動互聯網開發團隊缺少足夠的安全意識和技能,並沒有把信息安全看作是架構層面的設計,而簡單的當作是普通功能。

比如此次的漏洞:

1、既然是匿名,就應該在系統底層對用戶進行匿名處理,轉換為內部ID而不是使用微信ID來進行識別,匿名信息的屏蔽操作應該統一由一個安全模塊完成,而不是各個功能模塊自行完成。這是把信息安全當成基礎設施的原則;

2、所有匿名到實名的轉換操作應該在服務器而不是客戶端完成,這是任何時候都不要信任客戶端以及用戶輸入的原則;

3、敏感數據在網路上傳播的時候應該加密;

這幾個原則在PC時代已經廣為開發人員熟知,然而在移動互聯網開發中,能嚴格遵守的團隊屈指可數,上文提到的
http://apprisk.newskysecurity.com團隊使用他們的自動化工具掃描檢查了大量的移動應用,其中60%有中等以上的安全漏洞,包括且不僅限於:各個銀行、超市、航空公司、電商、社交軟體的手機客戶端。例如美國著名的超市Target和Costco的手機應用,都被檢查出有嚴重的安全問題。

安在:作為普通的用戶,應該注意些什麼呢?

shotgun:用戶應該要有安全防范意識
1、網路上沒有真正的匿名,由於大數據的存在,由於安全漏洞的存在,匿名很容易被泄露,所以不要仗著匿名去做一些平時實名時不敢做的事情,這樣很容易出問題;

2、移動互聯網的安全問題越來越嚴重,使用第三方的應使用第三方的應用時要小心謹慎,特別是不要把自己的敏感信息(如實名信息或者銀行信息)存在應用裡;

3、經常關注信息安全公告,發生重大信息安全事件時能夠及時反應,降低損失。

你以為你在匿名聊天?小心被人扒了底褲!

閱讀原文


關於作者:
ChinaHadoop-小象社區官方公眾號,專注大數據、數據分析、數據挖掘。

微信號:ChinaHadoop