子弹短信上线两天:被发现用户信息全方位泄漏,官方已在处理
子弹短信是一款非常高效率的沟通工具,这款产品并非锤子科技的产品,但属于老罗“力挺”的合作伙伴,公司团队有原锤子科技的元老,同时也获得了老罗的资金支持。在产品设计上,为了使用方便以及便于推广,采用了不安装也可以用的策略,也就是和应用同时推出了网页版子弹短信,收到其他用户发来的子弹短信内容之后,可以通过网址直接进入网页版子弹短信查看信息并使用。
不过子弹短信发布之后,网上有人发现存在严重的疏漏。首先用户个人信息可以通过网页浏览器查看,而且查看用户信息的页面采用了可遍历的设计,还非常“耿直”到直接拿用户ID当做链接地址,直接按照网址规则输入用户ID就可查看其信息。比如下图是子弹短信某用户信息页面的源代码,但关键问题还不止是这个。
更关键的问题是在页面上除了子弹短信ID和网名,还可以看到该用户是否激活子弹短信、所在地、对应的微博账号、微信账号、QQ信息、Smartisan账号等,这些都是在页面上被明文保存的,当打开页面时用户个人信息也随着代码被加载到本地,没有设置任何安全措施,甚至连最基本的加密都没有。
简单的说,当你用子弹短信向手机通讯录里的好友发送信息时,子弹短信就会生成这个用户信息页面,该页面会记录对方是否激活了子弹短信(即是否用验证码核对过身份并查看该信息),并且顺手在页面上记录该用户所输入的个人资料,然后这个页面还允许任何人查看。
由于页面这种开放性,让“脱库”变得十分简单。懂得代码的人只要编写一个程序,从ID编号为1的网址开始依次访问,抓取网页中各个字段信息并记录,就可以非常快速的得到一个庞大而且真实的子弹短信用户数据库,剩下的事情不用说你也懂的。
另外,网上还曝光了子弹短信另一个隐私问题,当加了对方子弹短信之后,界面会直接显示对方手机号,而没有相关的隐私设置。
从目前的情况看,官方已经对安全漏洞进行了处理。比如针对网页存在的问题,官方现在直接关闭了查看信息的页面,但由于官方没有做任何回应,所以个人信息有没有进一步做加密处理也就不得而知了。而对于直接显示手机号的问题,官方也表示正在处理。
总结来看,现在子弹短信还是公测版,还不完善,包括IOS版使用时还会遇到个别bug,所以出现问题也就在所难免。但出现这样的安全性问题,就可能波及到用户了,在老罗的强力推荐之下,相信发布会之后立即体验的用户不占少数,这种情况下最好能够自行处理一下敏感信息避免泄露,之后等确认官方强化了信息安全再说吧。