Voila 應用程式初步分析 – Voila 將頭像照片發送到伺服器進行處理的做法可能存在風險

Voila 應用程式初步分析 – Voila 將頭像照片發送到伺服器進行處理的做法可能存在風險

 

Check Point Research (CPR) 對大熱的卡通頭像照片編輯應用程式—Voila 進行了初步安全分析。雖目前仍未有明顯的危險信號,但 CPR 指出,Voila 將頭像照片發送到伺服器進行處理的做法可能存在風險。假如網路受攻擊,頭像照片及用戶的個人資料便可能會落入黑客手中。

 

Voila 將頭像照片發送到伺服器進行處理

  • 這應用程式在發送照片進行驗證時會包含Google Play 生成的特定且獨有的安裝 ID (vdid)
  • 頭像照片與特定使用者安裝資訊相連。一旦發生網路攻擊,頭像照片和用戶資料都可能會落入黑客手中

 

Viola 是一款熱門的卡通頭像照片編輯應用程式,經過初步安全掃描,Check Point Research (CPR) 對Viola 應用程式有以下的初步發現:

  • Viola 應用程式的開發商是一個於英國 (UK)合法註冊的有限責任公司
  • 應用程式僅會用到操作所需最低限度的許可權
  • 應用程式會先驗證圖像是否包含頭像,並在驗證成功後將照片發送到伺服器進行處理
  • 使用 HTTPS代理伺服器與代理程式進行通訊,以確保傳輸從一開始就被加密
  • 應用程式盡量使用大眾認識的的開源庫
  • 當將照片發送到伺服器時,應用程式會包含由 Google Play 生成的特定且獨特的安裝 ID (vdid),因此頭像照片有機會被連到特定安裝資訊

 

Check Point Software 網路研究主管 Yaniv Balmas 表示:「很多用戶可能都認為Voila 的特效處理是由他們的手機上進行。事實上,應用程式會將頭像照片發送到伺服器處理。而且 Voila 在發送照片時更會包含由 Google Play 生成的特定安裝 ID。因此,每張照片都包含了用戶個人資料。雖然開發商有在私隱政策中提到這一點,但仍存在著公司或第三方濫用資料的漏洞及風險。舉例來講,如果公司遭到黑客攻擊,黑客便可能竊取大量應用程式用戶的頭像照片資料。我們無法考究開發商有否從事任何非法或惡意活動,但新用戶有必要了解將頭像照片發送到伺服器進行處理的固有風險。遇到資料洩露或網路攻擊的情況下,用戶或其好友的照片或會遭黑客竊取。」

數碼領域

中電金信推出強大的 AI 驅動端到端解決方案,改變企業軟件測試模式

數碼領域
2024-12-19 0
中電金信推出強大的 AI 驅動端到端解決方案, 改變企業軟件測試模式   新一代卓越測試中心(TCoE 3.0)結合人工智能、機器學習和自動化技術, 提升企業軟件測試的速度、靈活性和效率 數碼化轉型專家中電金信推出功能強大的卓越測試中心(TCoE 3.0) 解決方案,改變企業對軟件測試的方式。TCo ...

Arlo 智能攝影機限時優惠:向親友送上最「安心」的聖誕禮物

數碼領域
2024-12-17 0
Arlo 智能攝影機限時優惠:向親友送上最「安心」的聖誕禮物   聖誕佳節即將來臨,讓 Arlo 的智能產品為您的家提供全方位的保護,確保您和摯愛可以安心地享受這個假期。 來自美國,領先的無線網絡攝影機品牌 Arlo 的香港總代理永高(太平洋)有限公司將於12月16日至12月26日期間,為Arlo旗 ...

Be the first to comment

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料