再說匿名,你就當(dāng)放屁
Yik Yak的漏洞曝光,其實(shí)Secret、 Whisper、Snapchat所謂匿名也很危險。
0
科客苛刻點(diǎn)評:即便是匿名社交也不見得會在上面說真話,胡話才是最多的,所以在任何程序說話都要悠著點(diǎn)。如果像科客這樣毒舌的同學(xué),估計(jì)要用Tor埋藏在我深深的暗網(wǎng)里才能逃過殺機(jī)。
備受青少年歡迎的匿名社交應(yīng)用Yik Yak,在最近的安全調(diào)查中被曝存在一個嚴(yán)重漏洞。黑客利用該漏洞可以輕而易舉地獲取本該匿名的用戶身份信息。這次漏洞曝光讓我們開始思考:匿名軟件其實(shí)一點(diǎn)也不匿名,也許永遠(yuǎn)也不會真正匿名。
為什么?因?yàn)楹茈y實(shí)現(xiàn)絕對性的匿名。Yik Yak只是最近被曝光泄漏用戶身份信息的一個社交應(yīng)用。但是目前幾款最流行的匿名社交應(yīng)用,包括Secret、 Whisper、Yik Yak,以及所謂“閱后即焚”的非匿名應(yīng)用Snapchat,它們或多或少都存在泄密的危險。
所以用戶不應(yīng)該在這些應(yīng)用上交出一堆敏感信息,以防上當(dāng)受騙。下面,讓我們來逐個分析四個主流匿名應(yīng)用的匿名風(fēng)險。
Yik Yak
Yik Yak聲稱自己是一個“與您周圍的人分享您的想法,同時保持您的隱私”的地方。這一承諾聽起來有點(diǎn)空洞,因?yàn)榻谄毓獾腨ik Yak漏洞是如此地簡單可笑。最主要問題是:Yik Yak沒有密碼。如果有人知道用戶ID,他就可以登錄到任何人的帳戶。不過,Yik Yak也將應(yīng)用程序和服務(wù)器之間的數(shù)據(jù)流進(jìn)行加密,所以只要你不告訴任何人你的用戶ID就萬事大吉了,對不對?
但事實(shí)絕非如此。應(yīng)用程序通 常為了進(jìn)行用戶跟蹤和廣告推送,而與其他服務(wù)器進(jìn)行通信。每次應(yīng)用程序啟動時,Yik Yak會將用戶的信息以純文本的形式發(fā)送給分析公司Flurry。這些數(shù)據(jù)很容易被黑客截獲,這也使得用戶ID信息很容易找到。Yik Yak已經(jīng)修復(fù)了目前發(fā)現(xiàn)的漏洞,但誰又能說不會有另一個呢?
Secret
秘密共享應(yīng)用 的大量涌現(xiàn),顯示所謂匿名是多么危險的一件事。Secret這款秘密共享應(yīng)用讓用戶暴露自己最深的秘密,但Secret并沒有將bot程序的行為考慮在 內(nèi)。在今年早些時候,兩個黑客通過一個簡單的腳本,使用bot程序發(fā)現(xiàn)了特定用戶的身份。Seccret 也已經(jīng)修復(fù)了該漏洞,但誰知道Secret還藏有哪些secret的安全問題呢?。
Whisper
Whisper是一個有點(diǎn)糟糕的應(yīng)用程序。幾個月前Whisper爆發(fā)丑聞,英國《衛(wèi)報》透露所謂的匿名應(yīng)用Whisper從不知情的用戶手中收集了驚人數(shù)量的數(shù)據(jù)。該應(yīng)用程序甚至在用戶退出的情況下,還在記錄用戶的位置數(shù)據(jù)。
“該 應(yīng)用在沒有與用戶進(jìn)行任何初始交互的情況下,會在程序第一次運(yùn)行時生成一個唯一標(biāo)識符”,一位iOS的取證專家這樣說道, “這些用戶標(biāo)識符似乎會一直伴隨著應(yīng)用,即使用戶希望在使用該應(yīng)用程序時保持匿名,這些用戶標(biāo)識符依然會被分配”。所以Whisper不是完全匿名的。”
Snapchat
Snapchat 并不是一個完全的匿名應(yīng)用,但它以許諾隱藏某些信息為特點(diǎn)。換句話說,它承諾會在用戶閱讀郵件后刪除該郵件。而像所謂“真正的”的匿名發(fā)帖應(yīng) 用,Snapchat也犯過幾次簡單而愚蠢的錯誤。這些錯誤包括,一些黑客暴露Snapchat其實(shí)并沒有刪除舊的信息,其實(shí)Snapchat只是把這些 信息藏起來了,用戶看不到而已!該公司犯這樣的錯誤已經(jīng)不是一次兩次的事了。
該消息應(yīng)用在一年前也被抓住過一次把柄,一組研究人員利用該應(yīng) 用程序的查找好友功能的基本漏洞,獲取(和暴露)了460萬個用戶名和密碼。查找好友功能用起來很爽,但它很危險。在短短幾個月內(nèi),黑客使用了不同的攻擊 竊取用戶數(shù)據(jù)。這些只是我們所了解的違規(guī)行為。很明顯,Snapchat的“信任我們”的承諾已經(jīng)很長一段時間沒有實(shí)現(xiàn)了。
開發(fā)一個可以很 好保護(hù)用戶身份信息的應(yīng)用,并非完全沒有可能。就像格林指出的那樣,做到真正匿名的一個方法是使用一個像Tor這樣的匿名網(wǎng)絡(luò)來保護(hù)用戶。應(yīng)用程序還可以 減少收集數(shù)據(jù)的數(shù)量,雖然這可能會限制其推送廣告。坦率地說,許多有抱負(fù)的匿名應(yīng)用開發(fā)商,在開始會把安全的放在第一位。
正如格林所說:“開發(fā)一個自稱是安全的炫酷的應(yīng)用程序,要比開發(fā)一個實(shí)際上是安全的應(yīng)用簡單的多?!钡沁@些應(yīng)用積累到數(shù)以百萬計(jì)的用戶,遭遇黑客攻擊后,也很容易乞求 用戶得到原諒。這就會縱容他們不把您的個人信息擺在首位。因此,只要記住,如果您不想讓任何人知道您說的什么,最安全的做法就是不要在某個應(yīng)用程序里隨便說話。(快鯉魚)
注:轉(zhuǎn)載文章,不代表本站贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé),本站不承擔(dān)此類稿件侵權(quán)行為的連帶責(zé)任。如版權(quán)持有者對所轉(zhuǎn)載文章有異議,請與我們聯(lián)系。