Voila 應用程式初步分析 – Voila 將頭像照片發送到伺服器進行處理的做法可能存在風險

Voila 應用程式初步分析 – Voila 將頭像照片發送到伺服器進行處理的做法可能存在風險

 

Check Point Research (CPR) 對大熱的卡通頭像照片編輯應用程式—Voila 進行了初步安全分析。雖目前仍未有明顯的危險信號,但 CPR 指出,Voila 將頭像照片發送到伺服器進行處理的做法可能存在風險。假如網路受攻擊,頭像照片及用戶的個人資料便可能會落入黑客手中。

 

Voila 將頭像照片發送到伺服器進行處理

  • 這應用程式在發送照片進行驗證時會包含Google Play 生成的特定且獨有的安裝 ID (vdid)
  • 頭像照片與特定使用者安裝資訊相連。一旦發生網路攻擊,頭像照片和用戶資料都可能會落入黑客手中

 

Viola 是一款熱門的卡通頭像照片編輯應用程式,經過初步安全掃描,Check Point Research (CPR) 對Viola 應用程式有以下的初步發現:

  • Viola 應用程式的開發商是一個於英國 (UK)合法註冊的有限責任公司
  • 應用程式僅會用到操作所需最低限度的許可權
  • 應用程式會先驗證圖像是否包含頭像,並在驗證成功後將照片發送到伺服器進行處理
  • 使用 HTTPS代理伺服器與代理程式進行通訊,以確保傳輸從一開始就被加密
  • 應用程式盡量使用大眾認識的的開源庫
  • 當將照片發送到伺服器時,應用程式會包含由 Google Play 生成的特定且獨特的安裝 ID (vdid),因此頭像照片有機會被連到特定安裝資訊

 

Check Point Software 網路研究主管 Yaniv Balmas 表示:「很多用戶可能都認為Voila 的特效處理是由他們的手機上進行。事實上,應用程式會將頭像照片發送到伺服器處理。而且 Voila 在發送照片時更會包含由 Google Play 生成的特定安裝 ID。因此,每張照片都包含了用戶個人資料。雖然開發商有在私隱政策中提到這一點,但仍存在著公司或第三方濫用資料的漏洞及風險。舉例來講,如果公司遭到黑客攻擊,黑客便可能竊取大量應用程式用戶的頭像照片資料。我們無法考究開發商有否從事任何非法或惡意活動,但新用戶有必要了解將頭像照片發送到伺服器進行處理的固有風險。遇到資料洩露或網路攻擊的情況下,用戶或其好友的照片或會遭黑客竊取。」

數碼領域

Arlo 9 月優惠四連彈 開學價入手智能家居保安產品盡享著數禮遇

數碼領域
2021-09-16 0
Arlo 9 月優惠四連彈 開學價入手智能家居保安產品盡享著數禮遇   開學已有一段時間,無論想關心子女學習,還是提升家居安全,家長們都可趁今個月以開學價入手各款 Arlo 智能家居保安產品,並享獲超值禮品,萬勿錯過! Arlo Ultra 2 4K UHD超高清無線網絡鏡頭 Arlo Ultra ...

Be the first to comment

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料