两名安全研究人员独立发现的 Hairy MitM 漏洞利用,Yik Yak修复了泄露用户GPS位置的信息泄露漏洞。“匿名”社交网络Yik Yak花了三个多月的时间来解决漏洞,这意味着它根本不是匿名的,尽管来自两名不同的安全研究人员的报告。Yik Yak于2013年推出,允许用户匿名互相发送消息,但在受到网络欺凌指控后于2017年被关闭。它于去年重新启动,目前声称拥有约200万用户。
本月早些时候,威斯康星州计算机科学专业的学生David Teather透露,他能够访问用户在网站上发布的所有帖子和评论的精确位置,精确到10英尺到1 英尺,以及用户ID。
他指出,这意味着,特别是在农村地区,可以找到用户的家庭住址,这可能是出于盗窃或跟踪的目的。
研究人员能够通过使用开源Mitmproxy工具拦截来自客户端的HTTP请求来做到这一点。他说,这“非常简单”。
Teather于4月11日向Yik Yak提交了他的研究结果,他不知道另一位研究员Mika Melikyan几个月前报告了同样的问题。
“我们发现了类似的问题,但Mika比我挖掘得更深,并且能够成为Yik Yak数据库的管理员。”Teather告诉The Daily Swig。
“我不知道他的工作,但他在二月份向Yik Yak报告了他的问题。”
Melikyan说他2月1日的报告主要关注GPS数据泄露。
“然而,发现了更多漏洞,例如:任何用户都可以提升他们的权限并成为管理员,任何用户都可以修改或删除时间线上的任意帖子,任何用户都可以修改任意帖子的‘upvote’计数。”他说。
“这意味着攻击者可以更改任何帖子以获得成千上万的赞成票。这是危险的,因为它可以被用作人为地产生社会接受度的工具。想象一下,就在选举之前,有人发表了一篇匿名帖子,赞扬了一位总统候选人,并改变为有100,000人支持。”
在两名研究人员独立报告后Yik Yak于5月8日进行了更改,导致该应用程序不再向客户端返回用户ID。5月18日,它更进一步,降低了GPS定位的准确性,以及用户之间的距离。
然而,Melikyan说,“在2月1日至5月期间,Yik Yak应用程序进行了多次更新,但都没有解决漏洞。开发人员完全意识到这一点,他们没有优先考虑它。”
评论已关闭。