超级会员免费看
Tinder与面部识别的安全分析
1. Tinder的安全问题分析
Tinder作为一款知名的社交应用,其安全问题一直备受关注。在对Tinder进行深入研究后,发现了一系列安全相关的情况。
1.1 位置调整漏洞
在Tinder中,通过API调整位置是相对容易的。与一些其他地理社交应用(如Mitalk或LOVOO)不同,Tinder不使用校验和或签名来验证接收到的位置。虽然Tinder会拒绝非常小和非常大的位置更改,但可以通过一些技巧来绕过这些限制:
- 小的位置更改可以通过两次相反的较大移动来实现。
- 非常大的位置更改可以先几分钟不发送位置更改,然后再发送大的更改。这可能是为了适应关闭手机并乘坐飞机等情况的用户,避免他们与Tinder永久不同步。
1.2 验证过往攻击
为了验证之前发现的Tinder漏洞是否已被修复,进行了相关测试。最初的一个重大漏洞是会泄露用户的精确GPS数据和Facebook ID。测试该漏洞的最简单方法是请求用户的卡片并检查结果,使用了cURL命令来完成此操作。结果显示,Tinder不再发送GPS坐标和Facebook ID,并且返回的距离现在是四舍五入到最近英里的整数,而不是原始三边测量攻击中看到的精确距离。
然而,还测试了在特定情况下返回的距离是否仍然准确。例如,如果距离只是简单地四舍五入到最接近的整数,逐渐远离目标直到距离在两个整数之间切换,就可以得到这两个整数之间距离的一半,然后可以将其用作进行三边测量攻击的点。为此开发了一个程序来尝试实现这一点。
1.3 新的攻击方式
- 识别Facebo
订阅专栏 解锁全文
扫一扫
23
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
