Tinder：观看黑客轻松窥探照片流和滑动

Tinder遭到破坏。根据应用安全公司Checkmarx周二发布的一份报告，Tinder加密中的漏洞可能让黑客能够监视活跃的Tinder账户。

只需连接到同一个wifi网络，Tinder间谍就可以使用Tinder用户的照片流。这是可能的，因为在将照片（包含在信息“数据包”中）推送到应用程序时，Tinder不使用HTTPS加密。使用称为“数据包嗅探器”的程序，黑客可以下载在同一个wifi网络上发送的任何数据包，如果它未加密，他们可以检查内容。

因为这些图片在技术上已经可供公众观看，所以窥探者不会收集任何私人信息;然而，就你与他们的互动而言，他们可以看到的是令人毛骨悚然的。

虽然Tinder确实使用HTTPS加密来进行滑动等操作，但Checkmarx的研究人员也找到了解决方法。当您在应用程序上滑动时，您的手机会再次在数据包中向您的wifi网络发送与该操作相对应的信息。由于滑动是加密的，因此检查该信息的人不应该理解其含义。但Tinder滑动只有三种类型：左滑动，右滑动和超级滑动。设置加密的方式，每次向左滑动时，数据包的大小都相同。由于每次滑动都与不变的不同数据包大小相关联，因此旁观者可以通过检查数据包的大小而不是数据包内的信息来有效地查看您正在做的事情。使用正确的工具，就好像有人只是在看你的屏幕。

根据Checkmarx的说法，真正令人担忧的是，黑客可以通过拦截未加密的流量将自己的照片插入到用户的照片流中。

很容易想象潜在的后果。未经请求的鸡巴照片将成为冰山一角;广告，威胁和Tide Pod模因都可以渗透到您的应用中。

除了彻头彻尾的尴尬之外，Checkmarx表示这个漏洞可能被用来敲诈或以其他方式暴露用户的Tinder习惯。 Checkmarx表示他们在11月向Tinder通报了这个漏洞，但是他们还没有解决它。

在一份声明中 逆 Tinder发言人说：“我们正在努力加密我们的应用体验图像。但是，我们不会详细介绍我们使用的特定安全工具，或者我们可能实施的增强措施以避免被黑客攻击。“

在Tinder提出解决方案之前，保护自己免受数字旁观者攻击的最简单方法很简单：不要在公共场所刷卡。