受安全性和隐私缺陷困扰的流行iOS和Android约会应用
- 在Android和iOS上测试了14种最流行的约会应用程序后,发现其中大多数都不安全。
- 在大多数情况下,这些应用未遵循正确的用户数据隐私保护惯例,这可能会导致数据泄漏。
- 用户应谨慎使用他们正在使用的应用程序以及与这些平台共享的数据。
移动安全解决方案提供商Zimperium已与我们分享了一份报告,其中他们提出了令人担忧的发现,涉及14种广泛使用的约会应用程序的安全性和隐私性。这套经过测试的应用程序适用于Android和iOS,并且已通过Zimperium的高级应用程序分析引擎(3A)根据预先确定的评分系统进行了评估。这意味着研究人员已经调查了应用程序的代码,行为,证书,连接的域,数据收集和保留策略以及安装时要求的权限。
应用程序的得分分为三个类别,分别为“通过”,“平均”和“失败”。 “通过”意味着该应用程序几乎没有风险。 “平均”表示该应用程序存在一些应解决的风险,但确实采取了一些步骤来保护用户数据。 “不及格”等级表示使用该应用程序会带来重大风险。
以下是“隐私风险”类别中报告中最值得注意的发现:
- 经过测试的100%iOS约会应用程序和71%的Android同类应用程序未获得及格分数。
- 在iOS应用中,存在保留用户PII和敏感信息记录的情况。
- 14个iOS应用程序中有11个正在积极监视从Pasteboard检索数据。
- 14个Android应用程序中有12个使用不安全的内容提供程序。
资料来源:Zimperium
以下统计信息是指该报告有关“安全风险”的主要发现:
- 100%的基于iOS的应用程序和93%的基于Android的应用程序未获得通过的安全等级。
- 所有经过测试的14个iOS应用程序都容易受到SSL和TLS链验证覆盖的影响。而且,它们都实现Swizzling API调用。
- 14个iOS应用程序中有6个允许与较低TLS版本的服务器建立不安全的连接。
- 14个Android应用程序中有9个使WebView能够执行JavaScript代码,从而有可能导致任意代码执行。
- 经过测试的一半Android应用程序允许创建新的OS子进程,并提供从JavaScript注入Java对象的方法。
- 29%的Android应用程序使用WebKit从Internet下载其他文件。
资料来源:Zimperium
从以上数据可以清楚地看出,使用移动约会应用程序会给相关用户带来严重的风险。用户数据隐私是非常重要的事情,在约会应用程序时,此数据要敏感得多,因此应格外小心。
不幸的是,我们发现这些应用程序的大多数开发人员并非如此。 Zimperium在报告中没有提及任何应用程序名称,因为它们希望与供应商合作以帮助他们提高软件的安全性。目前,如果您使用的是约会应用程序,建议您保持警惕。