标签: 隐私漏洞

Telegram 在修复隐私漏洞后发布新版本

Telegram 最新发布的客户端版本为 5.11,该版本修复了一个严重的隐私漏洞。由于此应用在 Google Play 商店的下载量超过1亿次,这将会是一起严重的隐私侵权事故。 Telegram 在 3 月发布了一项新功能,允许发件人删除已发送的邮件,同时将其从收件人的设备中删除。这项功能旨在保护发件人的隐私,适用于不小心发送或者想要撤回消息的情况。 在研究 Telegram 的 MTProto 协议时,安全研究员 Dhiraj Mishra 发现了与消息删除功能相关的错误。 他注意到,当发件人从 Telegram 中删除了一条消息,图像或文件时,它将从当前会话中删除,但不会从设备本地删除。对于Android用户,这将允许收件人在`/ Telegram / Telegram Images / `路径下查看已删除的媒体。 此错误不仅发生在单人会话中,还涉及到了 Telegram 超级组。如果用户在组内误发了一个文件并撤回,这样看似自己的隐私得到了保护,但其实组内所有成员都可以从其设备的文件系统访问该文件。 “假设你是一个 2,000,00 人的小组中的一员,你不小心分享了一个媒体文件,并且想要通过‘对所有人撤回’功能来删除它。”Mishra 在他的文章中说,“但是这个方法有漏洞,所以你的文件仍然存在于所有用户的存储中。” 在报告错误后,Telegram 奖励了Mishra 2,500 欧元。此错误已在 5.11 版本中修复,该版本今天针对 Android 和 iOS 发布。 用户可以通过安装此更新来修复该错误,但 Mishra 告诉我们,收件人仍然可以查看到在旧版本中未正确删除的媒体。     消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Facebook 旗下 Messenger Kids 存设计漏洞:允许儿童和陌生人群聊

在传出社交网络巨头Facebook和美国联邦贸易委员会(FTC)达成50亿美元和解之后,近日又有报道称Facebook旗下的Messenger Kids应用存在一个严重的设计缺陷,允许孩子和未经批准的陌生人进行群聊。 Messenger Kids应用的设计理念之一就是,儿童不应该和未经父母允许的用户进行交谈。但由于该应用中的设计缺陷,允许用户在群聊中绕过这个限制让孩子和陌生人群聊。在刚刚过去的一周时间内,Facebook已经悄然关闭了这些群聊并提醒了用户,但是并没有公开声明披露这个问题。 根据外媒The Verge获取的通知,内容如下 Hi,各位家长好! 我们发现了一个技术错误,在[孩子]的好友创建的群组中除了你的孩子之外,还包括好友家长批准的好友。我们希望您知道我们已经关闭了这个群组聊天,并确保未来不允许存在这样的群聊。如果您对Messenger Kids和在线安全有疑问,请访问我们的帮助中心和Messenger Kids家长控制。我们也非常感谢您的反馈。 随后Facebook向The Verge确认该消息是真实的,并表示最近几天已向数千名用户发送了警报。一位Facebook代表说:“我们最近通知了Messenger Kids用户的一些家长关于我们检测到的影响少数群聊的技术错误。我们关闭了受影响的聊天记录,并为家长提供了有关Messenger Kids和在线安全的额外资源。” 在标准的一对一聊天中,儿童只能与已经由孩子父母批准的用户进行对话。但是,由于涉及多个用户,这些权限在应用于群聊时变得更加复杂。启动该组的任何人都可以邀请任何被授权与他们聊天的用户,即使该用户未被授权与该组中的其他孩子聊天。结果在这样的情况下,孩子和陌生人进行了群聊,这违反了Messenger Kids的核心承诺。 目前尚不确认该问题已经存在多长时间了,该应用程序于2017年12月推出了群组功能。因为Messenger Kids专为13岁以下的儿童设计,因此受到儿童在线隐私保护法(COPPA)的约束。一些隐私组织已经指控Messenger Kids通过收集用户数据来违反COPPA,而这一最新的隐私漏洞只会加剧这些担忧。   (稿源:cnBeta,封面源自网络。)