约会应用 Raw 泄露用户位置信息及个人资料

TechCrunch 报道称，约会应用 Raw 的一次安全疏漏使得其用户的个人数据和私密定位信息被公开暴露。

暴露的数据包括用户的显示名称、出生日期，以及与 Raw 应用相关的约会和性取向偏好，此外还包括用户的位置数据。其中部分位置数据包含的坐标具体到可以实现街道级定位。

Raw 应用于 2023 年推出，是一款约会应用，其声称通过要求用户上传每日自拍照片，能提供更加真实的互动体验。该公司并未公开用户数量，但其在 Google Play 商店的应用列表中显示，截至目前 Android 平台的下载量已超过 500,000 次。

这次安全疏漏的消息发生在同一周内，该初创公司宣布将其约会应用扩展到硬件领域，推出尚未发布的可穿戴设备 Raw Ring。据称该设备将允许用户追踪其伴侣的心率及其他传感器数据，以通过 AI 生成的见解来侦测外遇。

尽管追踪伴侣的行为涉及道德和伦理问题，并存在情感监控的风险，Raw 在其网站及隐私政策中均声称，其应用和未发布设备都采用端到端加密，这一安全功能旨在防止除用户之外的任何人——包括公司本身——访问数据。

TechCrunch 本周试用该应用并对其网络流量进行了分析后发现，并无证据表明该应用使用了端到端加密。相反，我们发现应用竟公开向任何拥有网页浏览器的人泄露用户数据。

在 TechCrunch 向公司提供漏洞详情后不久，Raw 在周三修复了数据泄露问题。

Raw 约会应用联合创始人 Marina Anderson 通过电子邮件告诉 TechCrunch：“之前暴露的所有接口现已得到安全加固，我们还实施了额外的防护措施，以防止将来出现类似问题。”

当 TechCrunch 询问时，Anderson 确认公司尚未对其应用进行第三方安全审核，并补充称：“我们的重点依然放在构建高质量产品和与不断壮大的社区进行有意义的互动上。”

Anderson 没有承诺会主动通知受影响用户其信息曾被泄露，但表示公司会“依据适用法规向相关数据保护机构提交详细报告。”

目前尚不清楚该应用公开泄露用户数据的持续时间。Anderson 表示，公司仍在调查这一事件。

对于其声称应用使用端到端加密的问题，Anderson 表示 Raw “在传输中使用加密，并对我们基础设施中敏感数据实施访问控制。经过全面分析情况后，我们将采取进一步措施。”

当被问及是否计划调整其隐私政策时，Anderson 没有表态，且在 TechCrunch 后续邮件问询时也未作回复。

如何发现泄露数据

TechCrunch 在周三对该应用进行简短测试时发现了这一漏洞。作为测试的一部分，我们在一个虚拟化的 Android 设备上安装了 Raw 约会应用，这使我们无需提供任何现实中的数据，例如我们的实际位置即可使用该应用。

我们创建了一个使用虚假数据的新用户账户，例如姓名和出生日期，并将虚拟设备的位置设置为看起来像我们位于加利福尼亚州 Mountain View 的一座博物馆。当应用请求获取我们虚拟设备的位置时，我们允许其访问我们精确到几米之内的位置数据。

我们使用了网络流量分析工具来监控和检查 Raw 应用中进出的数据流，从而了解该应用如何运作以及其上传哪些用户数据。

TechCrunch 在使用 Raw 应用数分钟内就发现了数据泄露问题。我们首次加载该应用时，发现它直接从公司服务器拉取用户资料信息，但服务器并未对返回的数据进行任何身份验证保护。

实际上，这意味着任何人只需使用网页浏览器，访问暴露服务器的网页地址—— api.raw.app/users/ 后跟一个独特的 11 位数字，该数字对应于另一位应用用户，即可访问该用户的隐私信息。将数字修改为其他用户对应的 11 位标识符，即能返回该用户资料中的私密信息，包括其位置数据。

这种漏洞被称为不安全的直接对象引用（IDOR），是一类由于缺乏对访问数据的用户进行适当安全检查而可能允许他人访问或修改他人服务器上数据的漏洞。

正如我们之前所解释的，IDOR 漏洞类似于拥有一把能够打开一个私人邮箱的钥匙，但这把钥匙也能打开同一街区中其他所有邮筒。因此，IDOR 漏洞非常容易被利用，在某些情况下还能被枚举，从而访问大量用户数据记录。

美国网络安全机构 CISA 长期以来一直警告 IDOR 漏洞带来的风险，包括能够“大规模”访问通常为敏感数据。作为其 Secure By Design 计划的一部分，CISA 在 2023 年的一份公告中曾表示，开发人员应确保他们的应用执行适当的身份验证和授权检查。

自 Raw 修复该漏洞以来，被暴露的服务器在浏览器中已不再返回用户数据。