AS网站目录(www.adminso.com):Yo:三分钟拿到妹子手机号 让编辑部小伙伴都变成蛇精病的意义不明超简单超无聊应用Yo目前火爆程度超乎想象,已经飙升到App Store排行榜第4名。不过貌似它现在有了点小麻烦
AS网站目录(www.adminso.com):Yo:三分钟拿到妹子手机号
让编辑部小伙伴都变成蛇精病的意义不明超简单超无聊应用Yo目前火爆程度超乎想象,已经飙升到App Store排行榜第4名。不过貌似它现在有了点小麻烦。继之前报道被几名学生攻破后,公司承认应用中存在漏洞,可以让黑客拿到其他用户的电话号码。
如今,同样大热的匿名八卦吐槽应用Secret的CEO David Byttow,也跟风show了一下如何3分钟就黑进Yo然后随意偷取妹子电话的。
当然,出于良心,我们不会报道具体步骤和细节。。但背后的原理还是可以科普一下的。任何人都可以用「中间人攻击」(man in the middle, MITM)代理来劫持应用流量。黑客可以使用他人的证书,比如某用户的用户名是tech2ipo(喂,你用某种办法得到了这个用户名,并用它向Yo发送数据请求。当Yo发送回复后,你的MITM代理将可以「看懂」对话中所包含的全部信息。在Yo的情况中,信息中就包含了用户的电话号码。
为了证(xuan)明(yao),Byttow还展示了他用其他人Yo用户名发送的信息。返回到MITM的数据显示用户的电话来自美国加利福尼亚。
Byttow对Yo的安全机制很感兴趣,因为Secret在加利福尼亚特别受科技从业者欢迎,考虑到它的定位,Secret对隐私安全问题有着极高要求。但是大可放心,Secret在设计时就保证MITM攻击不会泄露任何用户的个人信息。
Byttow表示,此次Yo的漏洞毫无技术含量,只是工程师们太粗心了。不过他也说,「情况经常是这样,一个应用火了,大家就都来挑刺,所以出点问题也可以理解。」
目前Yo声称正在修复这一漏洞。
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!