子弹短信擦枪走火!隐私泄漏并涉黄?劝你不要操之过急

阅读量234366

|评论2

发布时间 : 2018-09-01 14:00:46

2018年8月20日,子弹短信正式上线。老罗仍然用一贯“改变世界”的口吻向世界宣布,子弹短信上线仅7天完成第一轮1.5亿元融资。但是近日产品爆出“信息泄露”、“涉黄社交”等安全隐患,想要冲破微信、短信原有的社交生态,初生的子弹短信究竟能走多远?

 

“超高效率沟通”—子弹短信

子弹短信,是由北京快如科技研发、锤子科技投资的一款即时通讯App,其最大的亮点是高效沟通。

而这款次时代社交工具不仅支持语音、文本输入,同时还支持“语音输入、文字输出”。从子弹短信官微的介绍来看,“做一个超高效率的即时通讯软件”是子弹短信团队的愿景。而“语音”成为其突破的重中之重。

初版就功能来看,老罗和快如科技的确做出了许多尝试和努力,其中最主要的功能如下:

主要功能

以“语音”作为突破口,子弹短信选择与科大讯飞合作,用户可以自己选择发送信息的类型,用户可以同时发出「语音+文字」,其中语音可以拖动进度条,识别率高达97%。

除此之外,为了使用更加便捷,子弹短信采取了不安装也可以使用的设计。也就是说当其他用户收到了子弹短信之后,可以通过进入网页版直接查看信息并回复。

在国内的互联网大环境里,老罗似乎是个例外。他带着他的“锤子”一次次向我们走来,对于勇敢的“异世者”我们总是充满期待和宽容。

这次的子弹短信也不例外,正式上市后热度迅速飙升,上线两天冲到了 App Store 社交免费排行榜第 2 名,上线九天其激活用户量就超过4,000,000。

疯狂的热度和期待背后,我们暂时没有迎来社交方式变革,反而暴露了“隐私泄露”、“涉黄社交”等一系列问题……

 

“任性条款”,信息泄露堪忧

在产品发布后,有人爆出子弹短信存在严重的漏洞。

网页版信息泄露

首先,个人信息可以通过网页浏览器查看,并且查看用户信息的页面采用可遍历的设计,还将用户ID直接作为链接地址,按照网址规则输入用户ID就可以查看到具体的用户信息。

而这用户信息不光子弹短信的ID,还包括账号所在地、对应的微博账号、微信账号、QQ信息、Smartisan账号等信息,最可怕的是这些在页面上被明文保存,当页面被打开这些信息也会被加载到本地,中间没有任何加密和其他安全措施。

也就是说,当你通过子弹短信发送消息时,会生成一个用户信息页面,里面记录该用户所输入的个人信息,并且该页面允许任何人查看。这样的“开放性”背后带来的的风险不可想象,首当其冲的就是“脱库”风险。在这样无加密的环境只需要编写一个程序,根据ID顺序依次访问各个网页并抓取其中字段信息,就可以得到一个庞大的用户数据库。

网友担忧

如果说按子弹短信官方给出的数据,仅上线9天,这个数据库一旦被脱库,就将有4,000,000个用户信息可能被泄露,后果不堪设想……

而目前大部分平台(比如微信)在网页版是需要校验身份的,用户信息多数是去敏的。通过对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。

手机号码泄露

除了网页版出现安全问题,还有部分网友反映添加了对方子弹短信之后界面会显示对方手机号码。

如果结合子弹短信的“发现锤友”功能,那随便添加就能知道附近人的手机号码,这带来的安全隐患也是不容小觑的。

任性的“隐私协议”

针对上面提到的各种隐私风险,我们不免都有点怕怕的,回头去看子弹短信官方的隐私协议,结果又被吓了一大跳。

收集信息范围较大,包括身份证、面部特征、护照,甚至指纹信息……

而下面这句更是引起来巨大争议,“快如科技将尽可能保障安全,但是对隐私信息的维护或保密无法做出任何确定性的保证或承诺”。

如果说官方都无法确定性保证信息不被泄露,那请问谁能保证?

子弹短信隐私协议

当然,互联网环境如此复杂,多渠道都可能出现信息泄露的情况。但是人家也都没好意思直接说“无法确定性保证”,大部分是根据不同情况做了一些责任的具体分配。

微信隐私保护指引

比如微信在《微信隐私保护指引》中表示,将努力为用户的信息安全提供保障,以防止信息的丢失、不当使用、未经授权访问或披露。并称“将在合理的安全水平内使用各种安全保护措施以保障信息的安全。若发生个人信息泄露等安全事件,会启动应急预案,阻止安全事件扩大,并以推送通知、公告等形式告知用户。”

 

社交之殇无法避免?

在前几天的文章中我们提到了airdrop中充斥大量“不良”消息(你的”苹果”可能有毒!变身“搭讪”利器,被“黑化”的AirDrop),无独有偶,此类信息又在子弹短信中也出现了。

不仅发送消息,还有很多群组内也充斥着这些信息,而且还缺乏群审核和群拉黑功能,相当于你随手搜群谁都进入……

社群充斥大量不良信息

听说一不小心火到国外也有这茬子事……

老外也在吐槽…

而这里就涉及到子弹短信在设计之初的一个重要功能——“与非子弹短信用户的好友也可以直接发送信息”。

如此一来,结合“发现锤友”、读取通讯录等功能,这简直就变成黑产的“移动信息发射台”,也难怪广大网友不停的吐槽。

网友吐槽

官方目前的监管力度很弱,目前对于这些不良用户和信息要是是用户举报,后台再进行手动处理的模式。

 

官方也在努力

2018年8月29日子弹短信也给出了官方声明,对于上述的隐私泄露等问题做出了一系列的改进。

官方声明

比如对网页版接口进行限频,从而减少“脱库”风险。对于手机号直接显示的情况也紧急修复了。官方的响应还是比较迅速的,在风险转化成危害之前就做出了努力,这大概是老罗和“快如科技”在此次子弹短信事件中做的最明智的一步。

当然,初生的产品难免磕磕绊绊,广大网友也提出了很多改进的建议:

  • 账号注销和手机号更绑功能未上线;
  • 对于未注册的用户直接短信发送链接,存在费用争议;
  • 对于新闻信息流大家褒贬不一,目前来看过早的在社交软件中插入新闻(尤其直接是腾讯新闻、今日头条)难免引起不适;
  • 对于陌生人直接发送消息,尤其很多不知名的链接,也很容易让人担忧背后是否安全,平台对于链接来源是否有检测等问题;

不敢点的链接

  • 产品刚上线时,出现很多验证码和注册页面的卡顿、闪退现象,服务器不太稳定,不过这一点官方有在做出回应和优化;

  • ……

聊到这里,至少从目前来看子弹短信的完成度,或多或少有些仓促了。从公司成立到产品第一版仅三个月时间。除了坚果手机自带的版本之外,移动端出来的Bug很多,目前IOS已经更新了四版,更新内容基本上均是修改软件Bug。

互联网圈子,节奏越来越快,老罗想要冲出原有的社交生态,迈出更具有可能性的一步。这是创新,是好事。但是过度的渲染、操之过急的“迈大步子”或许会让用户和创业者都迷失。

用户的隐私安全,应当是所有工作之中的重中之重,不容儿戏。在路上我们还需要再谨慎一些,莫将一片雄心被黑产所用。

参考来源:

1.《锤子子弹短信会成为主流吗?》——知乎

2.《冲上 App Store 榜第二名:罗永浩的《子弹短信》,真的能打赢微信…》——爱范儿

3.《请勿使用锤子的子弹短信,至少暂时别用!泄漏用户隐私,微信手机号一个都没落下,注册完就注销不了账号》——私银

更多黑产行业揭露内容,请关注公众号“极验”。

本文由极验原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/158532

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
极验
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66