春節(jié)這幾天，你的朋友圈有沒有被來自“朋友印象”的邀請刷屏呢？

這個可以匿名評論朋友的神器讓很多童鞋愉快地發(fā)泄了心中的欲火。在匿名功能的加持下，這片戰(zhàn)場交織著吐槽，攪拌著表白，勾兌著八卦，彌漫起讓人興奮的“邪惡”氣息。

然而，根據(jù)安全公司青天科技在漏洞平臺烏云上提交的信息，這個App存在一個致命漏洞——匿名的用戶信息可以被泄露。也就是說：你借著匿名掩護所說過的一切，都有可能大白于天下。

納尼？你有沒有天地崩壞的感覺？

安全公司啟明星辰 VP shotgun 對雷鋒網(wǎng)表示，

在使用這個APP的時候發(fā)現(xiàn)一個奇怪的現(xiàn)象，當把某個實名用戶拉進黑名單以后，對這個實名用戶相應的匿名用戶發(fā)送消息就會失敗，利用這個邏輯就可以判斷出某個匿名用戶的身份。

如果進一步來看的話，這就意味著服務器并沒有對用戶進行匿名轉換，客戶端層面是可以讀取到用戶的實名信息的，青天科技的安全研究員用調(diào)試工具進行了測試，果然和猜測相符，能夠讀取到用戶的實名信息。

【烏云平臺上的漏洞概要】

也就是說，其實用戶的實名信息就在App之中，只不過App設計者為這些名字打了碼，一般的用戶沒有辦法查看到實名信息。但是，如果采用技術分析工具，卻能夠在本地手機上做到去匿名化。

其實，從邏輯上來講這個漏洞并沒有那么嚴重。畢竟一般的用戶沒有很強的黑客技巧，很難拿到匿名者的信息，從應用體驗方面來說并無大礙。

shotgun告訴雷鋒網(wǎng)：

泄露用戶隱私的漏洞屬于中等危害，并不屬于最嚴重的那種，然而，朋友印象這類匿名社交，其主打的核心功能之一就是匿名評論和聊天，因此匿名可讀這個問題就會嚴重很多，可以說是破壞了這個應用的根基。

他還表示，從這個漏洞來看，開發(fā)團隊在安全架構和設計方面存在較大的缺陷，說不定還會存在其他類型的漏洞。建議開發(fā)者進行一次全面的檢查。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。