在网上分享你的最内心的秘密匿名并不像你想象的那么安全。

基于云的安全公司Silversky Labs在匿名社交消息应用程序yik yak中出窃了一个主要缺陷,其基于用户的位置显示匿名消息的馈送。该公司在周五发布的博客文章中表示,Yik Yak未能加密应用程序的看似“无害”组件,最终导致了脆弱性。

Silversky Labs表示,它在12月2日提醒Yik Yak到漏洞,并且该公司很快回应,以第一次应用程序更新的形式推出安全修复。

尽管如此,这种眩晕漏洞仍然存在令人震惊的应用程序,这些应用程序承诺安全地分享您的最佳秘密思想。

问题从Yik Yak的登录过程开始。该应用仅需要用户ID - 没有密码。如果您可以p出来一个人的用户ID是什么,您可以访问完整帐户。

Yik Yak使用HTTPS加密应用程序和服务器之间的通信,因此潜在的攻击无法监控两者之间的流量 - 这将是找到某人用户ID的一种方式。但当然,yik yak不只是与其服务器沟通。像移动分析工具丝网一样,有大量的第三方应用yik牦牛会谈。

普通似乎令人障碍禁用HTTPS,因此在Flurry和Yik Yak之间交换的所有信息都在纯文本中出现。意思是,随时用户推出Yik Yak应用程序,他们的用户ID出现在Flurry和Yik Yak之间的通信链中。任何观看该流量的人都有一个用户ID。

在一个更强大的博客文章中,Silversky的研究人员通过寻找线索,如IP地址,以及攻击者如何实现账户的完全收购,如何将账户Deanymizy。一旦帐户被接管,黑客就可以完全控制帖子:

“攻击者能够查看所有目标的上一篇文章,制作新帖子,并使用目标的凭据实际上登录应用程序。这种攻击可以容易地由与目标相同的网络上的任何人进行;这是Yik Yak的主要人口的一种非常常见的情况:大学生。作为攻击的一个例子,Hacktivists可以利用这种脆弱性来识别他们学校的WiFi网络上的恶霸。“

但是,对于用户认为他们可以拥有一个同时安全,匿名和公开的论坛,这可能是天真的。账户漏洞如此,不是yik yak的一个问题。大量的其他匿名消息传递平台,最值得注意的snapchat,已被证明具有类似的漏洞。

一个人所说或者确实可能最终保持后果,无论他们所说的情况如何。Silversky团队在帖子结束时总结了:“小心你在社交媒体上说或做什么。你可能不会像你想象的那样匿名。“

Venturebeat已达到Yik Yak,但该公司尚未退回我们的评论请求。