Voila 應用程式初步分析 – Voila 將頭像照片發送到伺服器進行處理的做法可能存在風險
Check Point Research (CPR) 對大熱的卡通頭像照片編輯應用程式—Voila 進行了初步安全分析。雖目前仍未有明顯的危險信號,但 CPR 指出,Voila 將頭像照片發送到伺服器進行處理的做法可能存在風險。假如網路受攻擊,頭像照片及用戶的個人資料便可能會落入黑客手中。
Voila 將頭像照片發送到伺服器進行處理
- 這應用程式在發送照片進行驗證時會包含Google Play 生成的特定且獨有的安裝 ID (vdid)
- 頭像照片與特定使用者安裝資訊相連。一旦發生網路攻擊,頭像照片和用戶資料都可能會落入黑客手中
Viola 是一款熱門的卡通頭像照片編輯應用程式,經過初步安全掃描,Check Point Research (CPR) 對Viola 應用程式有以下的初步發現:
- Viola 應用程式的開發商是一個於英國 (UK)合法註冊的有限責任公司
- 應用程式僅會用到操作所需最低限度的許可權
- 應用程式會先驗證圖像是否包含頭像,並在驗證成功後將照片發送到伺服器進行處理
- 使用 HTTPS代理伺服器與代理程式進行通訊,以確保傳輸從一開始就被加密
- 應用程式盡量使用大眾認識的的開源庫
- 當將照片發送到伺服器時,應用程式會包含由 Google Play 生成的特定且獨特的安裝 ID (vdid),因此頭像照片有機會被連到特定安裝資訊
Check Point Software 網路研究主管 Yaniv Balmas 表示:「很多用戶可能都認為Voila 的特效處理是由他們的手機上進行。事實上,應用程式會將頭像照片發送到伺服器處理。而且 Voila 在發送照片時更會包含由 Google Play 生成的特定安裝 ID。因此,每張照片都包含了用戶個人資料。雖然開發商有在私隱政策中提到這一點,但仍存在著公司或第三方濫用資料的漏洞及風險。舉例來講,如果公司遭到黑客攻擊,黑客便可能竊取大量應用程式用戶的頭像照片資料。我們無法考究開發商有否從事任何非法或惡意活動,但新用戶有必要了解將頭像照片發送到伺服器進行處理的固有風險。遇到資料洩露或網路攻擊的情況下,用戶或其好友的照片或會遭黑客竊取。」
發表迴響