在同性恋交友应用Grindr照片决非私人

更新():您可以通过计算机上的Web浏览器访问该服务下载的配置文件和消息Grindr高分辨率照片。只需访问web.grindr.com

更新():这篇文章中的主题已经由缓解迁移Grindr使用加密连接和禁止开发者控制台测井方法略。原条款保持不变。

使用网络截获或只是业务记录,攻击者,状态,或您的雇主可以在该弹出流行的“附近的同性恋男子取景器”应用程序中的图像看你的肩膀。yabo88软件下载个人资料照片在同性恋交友应用揭示了更多的数据比人们想象的。

Grindr提出谁也使用该应用程序在同一时间的头像网格视图及其附近的用户。这些个人资料图片都是从Grindr的服务器请求邻近的给用户的顺序。

由于当地用户永远是最近的,用户自己的个人资料照片总是先下载应用程序启动时;从而揭示出使用者的面部和外观。紧接着谁拥有在当地,同时yabo亚博体育下载应用程序开启所有其他用户的图片。

由于要求图像顺序意味着距离,这是可能的三角测量用户的粗糙的物理位置,如果你知道其中一人或更多的物理位置。所有这一切都,当然,更容易地通过简单地注册的帐户与应用程序和类似的普通用户打开它来实现的。

像一个企业,咖啡厅,或机场网络规模小,这可以用来附近发现任何同性恋男子。On a wider scale, like say for example a nation-state that’s unfriendly to gay individuals like Russia or Egypt — who to varying degrees also have state-run Internet service provider monopolies — this can be used to profile and identify every user of the app.

有没有想过政府如何建在同性恋人名单在英国在2005年的反乌托邦惊悚片“V字仇杀队”?上面概述的方法将是用于收集这样的列表(移动蜂窝塔地理三角测量的位置数据的最有效手段,IP地址和访问时间将提供给一个邪恶的国家行为)。

该应用程序还揭示了其中的其他用户找到最有趣的。点击穿到另一个用户的配置文件将发送的资料图片的放大版略有不同格式的请求。用户可能希望保持他确切的偏好男性的人,但Grindr泄漏信息与网络捕获能力的人。

下面是由可以在本地网络上被捕获或当其穿过较宽互联网Grindr应用下载未加密的数据的一些例子。每个URL是指可以由任何人谁截取地址/图像打开的图像:

http://cdns.grindr.com/images/thumb/ <宽度> x <高> / <唯一ID>http://cdns.grindr.com/images/profile/ <宽度> x <高> / <唯一ID>http://cdns.grindr.com/grindr/chat/ <唯一ID>

截获网络上的这些地址也将意味着用户IP地址是可以捕捉在同一时间。这只是那种在无阻碍,可以拦截并帮助通信解释以下引自斯诺登在我们政府的数据收集能力。

谁想要保存的私人照片副本还可以通过自己的手机连接到使用Android调试器(ADB)个人电脑这样做。Grindr打印URL通过应用开发者日志控制台(亚行logcat)访问的所有照片。

“好消息是有没有命名的程序迪克产品图计划。坏消息是他们还在收集大家的信息,包括您的家伙的照片。”

前任的NSA承包商Eward斯诺登

我观察到的另一个有趣的事情是,照片中的用户私人聊天不会从Grindr的服务器上删除,甚至从发送方和接收方的账户都被删除后交换。These privately exchanged images — ehm, dick pics — are also of the sort users would most care about being stolen. During my three-month testing period, I found that images that were deleted were still publicly accessible using the same image URLs three months after deletion.

“Grindr将保留配置文件信息和即时消息在Grindr应用程序或为Grindr服务的服务器上,只要需要提供Grindr服务,并遵守我们的法律义务,解决争议和执行我们的协议。”

Grindr是含糊隐私政策

这里有一些简单的步骤Grindr需要采取以提高安全性和保护其用户的隐私:

  • 其实删除旧照片,或者至少使它们不可在线
  • 启用HTTPS加密的成像服务器上
  • 停止使用静态和从未改变。网址对于图像
  • 添加一些随机性的获取订单的图像,而不是始终加载最近的人的第一

Grindr的图像服务器(cdns.grindr.com)由内容交付网络Akamai Technologies公司当记者问提供,Akamai的是完全把它要花多少钱从HTTP更新HTTPS对于像一个Grindr使用静态图像资源服务的任何价格信息泄露无心恋战。它可能不会是便宜,但是从Akamai的选择服务时,则选择廉价的替代是不是一个优先事项。

测试在Grindr的Android版本2.2.8和Grindr的iOS 2015年5月24日和2015-09-08之间的版本2.2.4。Grindr LLC,没有对评论请求做出响应。