据外媒TechCrunch报道,Grindr是为同性恋、双性恋、跨性别者和queer群体提供的最大约会和社交网络应用之一。日前,该应用修复了一个允许任何人仅通过电子邮件地址劫持和控制任何用户账号的安全漏洞。法国安全研究员Wassime Bouimadaghene发现了这个漏洞并向Grindr报告了这个问题。
不过该漏洞和快得到了修复。
在Scott Helme创建的一个测试账号的帮助下,Hunt测试并确认了这个漏洞并将他的发现分享给了TechCrunch。
Bouimadaghene发现该应用在处理账号密码重置方面存在漏洞。
据了解,如果用户想要重设密码,Grindr会向其发送一封电子邮件,其中包含一个可点击的链接--当中有一个账号密码重设令牌。一旦被点击,用户就可以更改密码并被允许回到他们的账号。
但Bouimadaghene发现Grindr的密码重置页面会将密码重置令牌泄露给浏览器。这意味着,任何知道用户注册电子邮件地址的人都可以触发密码重置并从浏览器中收集密码重置令牌--如果他们知道去哪里查找的话。
恶意用户可以重新设置账号所有者的密码并获得他们的账号及其存储的个人数据--包括账户照片、信息、性取向、艾滋病状况和最后一次检测日期等。
Grindr CEO Rick Marini在一份提供给TechCrunch的声明中指出:“我们感谢发现漏洞的研究人员。报告的问题已经得到修复。值得庆幸的是,我们相信在这个问题被任何恶意分子利用之前已经被解决。”
另外他继续说道:“我们致力于改善我们服务的安全性,为此我们正在跟一家领先的安全公司合作以简化和提高安全研究人员报告此类问题的能力。此外,我们将很快宣布一个新的漏洞奖励计划,它将为研究人员提供额外的奖励以帮助我们保持我们的服务安全向前发展。”
据悉,Grindr目前拥有约有2700万名用户,每天约有300万名用户在使用该应用。
声明:本文来自cnBeta,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
