在推特泄露1700万名用户账户与号码后脸书也迅速禁止手机号匹配账户
绝大多数的即时通讯工具在初次使用时都会要求用户授予通讯录权限,这样可以读取联系手机号码匹配特定账户。
这种策略既可以通过用户的通讯录发掘更多潜在用户,又可以向用户推荐好友来提供通讯工具的用户使用活跃度。
不过有时候这种匹配策略也可能会泄露大量用户的真实信息, 比如推特就被研究人员利用漏洞匹配1700万个号码。
研究人员枚举20亿个号码上传到推特然后匹配出 1700 万名用户 , 脸书看到这个消息后火速禁用自家应用的匹配。
尽管推特官方还未证实研究人员所说漏洞是真是假,不过隔壁社交网络巨头脸书倒是在最近更新里悄悄禁用匹配。
在推特上有逆向工程师对 Facebook Messager 应用进行逆向后发现 , 脸书已经直接从代码里将通讯类匹配删除。
有趣的是至少目前还没有研究人员证实脸书也存在类似的漏洞,而脸书自己倒是非常果断直接把相关功能禁用掉。
当然这有可能说明脸书的通讯类应用也存在类似的漏洞所以急着将其禁用,看起来这有点此地无银三百两的意思。
如文章开头所说大多数通讯类和社交类的应用都有通讯类匹配功能,名义上这项功能是帮助用户发现朋友账号的。
尽管有些应用例如微信会在本地将通讯类进行加密再上传特征码到服务器进行匹配,但这能否确保安全仍然未知。
因此推特这次的安全漏洞也算是给全球范围内的所有通讯和社交应用敲响警钟,滥用匹配可能会泄露用户手机号。
当然从用户角度来说其实这并没有什么好的解决办法,即便你禁止通讯类匹配但你的朋友和家人可能也是开启的。
这也同样可能会导致攻击者利用匹配方面的缺陷识别到某个账号和其真实号码,因此这类风险并不容易轻松解决。
不过在微信里用户可以转到设置的隐私设置里将添加方式中的手机号码删除,这样有助于防范潜在的匹配类攻击。