两名安全研究人员独立发现的毛茸茸的mitm利用
“匿名”社交网络Yik Yak花了三个多月的时间来解决漏洞,这意味着尽管有两名不同的安全研究人员的报道,但它根本不是匿名的。
Yik Yak于2013年启动,允许用户匿名向彼此发送消息,但是在指控网络欺凌之后,2017年关闭。它重新启动了去年,目前声称约有200万用户。
本月初,位于威斯康星州的计算机科学专业学生戴维·泰特(David Teather)揭示他能够访问用户的确切位置,准确地在10英尺至15英尺内以及用户ID,以获取网站上的所有帖子和评论。
他指出,这意味着,尤其是在农村地区,有可能找到用户的家庭住址,这可能是出于盗窃或跟踪的目的。
研究人员能够通过使用该客户拦截客户的HTTP请求来做到这一点开源mitmproxy工具。他说,这是“相当小的事情”。
重复的发现
Teather于4月11日向Yik Yak提交了他的发现,不知道另一位研究人员Mika Melikyan曾经报告了同样的问题几个月前。
“我们发现了类似的问题,但是Mika比我自己更深入,并且能够成为Yik Yak数据库的管理员。”每日swbeplay2018官网ig。
“我不知道他的工作,但他在二月份向Yik Yak报告了自己的问题。”
梅利基恩说,他的2月1日报告专注于GPS数据泄露。
他告诉他说:“但是,发现了更多漏洞,例如:任何用户都可以升级其特权并成为管理员,任何用户都可以在时间轴上修改或删除任意帖子,任何用户都可以在任意帖子上修改“ upvote”计数。”每日swbeplay2018官网ig。
“这意味着攻击者可以改变任何帖子,以拥有数千个主持人。这很危险,因为它可以用作人为产生社会接受的工具。想象一下,以前选举,发表了一个匿名职位,称赞了一名总统候选人,并更改为有100,000个投票。”
下层的变化
两位研究人员独立报告,Yik Yak于5月8日进行了更改,导致该应用程序不再将用户ID返回客户端。5月18日,它进一步降低了GPS位置的准确性以及用户之间的距离。
但是,梅利基安说:“ 2月1日至5月之间有多个Yik Yak应用程序更新,没有一个解决这些漏洞。开发人员完全意识到了这一点,他们没有优先考虑它。”
我们已经联系了Yik Yak以寻求答复,如果收到答复,将更新。
你可能还喜欢WordPress主题木星补丁关键特权升级缺陷
