子彈簡訊跑太快,隱私泄露涉黃,誰之過
2018年8月20日,子彈簡訊正式上線。老羅仍然用一貫「改變世界」的口吻向世界宣布,子彈簡訊上線僅7天完成第一輪1.5億元融資。但是近日產品爆出「信息泄露」、「涉黃社交」等安全隱患,想要衝破微信、簡訊原有的社交生態,初生的子彈簡訊究竟能走多遠?
「超高效率溝通」—子彈簡訊
子彈簡訊,是由北京快如科技研發、鎚子科技投資的一款即時通訊App,其最大的亮點是高效溝通。
而這款次時代社交工具不僅支持語音、文本輸入,同時還支持「語音輸入、文字輸出」。從子彈簡訊官微的介紹來看,
「做一個超高效率的即時通訊軟體」
是子彈簡訊團隊的願景。而「語音」成為其突破的重中之重。
初版就功能來看,老羅和快如科技的確做出了許多嘗試和努力,其中最主要的功能如下:
主要功能
以「語音」作為突破口,子彈簡訊選擇與科大訊飛合作,用戶可以自己選擇發送信息的類型,用戶可以同時發出「語音+文字」,其中語音可以拖動進度條,識別率高達97%。
除此之外,為了使用更加便捷,子彈簡訊採取了不安裝也可以使用的設計。也就是說當其他用戶收到了子彈簡訊之後,可以通過進入網頁版直接查看信息並回復。
在國內的互聯網大環境里,老羅似乎是個例外。他帶著他的「鎚子」一次次向我們走來,
對於勇敢的「異世者」我們總是充滿期待和寬容
。這次的子彈簡訊也不例外,正式上市後熱度迅速飆升,上線兩天衝到了 App Store 社交免費排行榜第 2 名,上線九天其激活用戶量就超過
4,000,000
。瘋狂的熱度和期待背後,我們暫時沒有迎來社交方式變革,反而暴露了「隱私泄露」、「涉黃社交」等一系列問題……
「任性條款」,信息泄露堪憂
在產品發布後,有人爆出子彈簡訊存在嚴重的漏洞。
網頁版信息泄露
首先,個人信息可以通過網頁瀏覽器查看,並且查看用戶信息的頁面採用可遍歷的設計,還將用戶ID直接作為鏈接地址,按照網址規則輸入用戶ID就可以查看到具體的用戶信息。
而這用戶信息不光子彈簡訊的ID,還包括賬號所在地、對應的微博賬號、微信賬號、QQ信息、Smartisan賬號等信息,最可怕的是這些在頁面上被明文保存,當頁面被打開這些信息也會被載入到本地,中間沒有任何加密和其他安全措施。
也就是說,當你通過子彈簡訊發送消息時,會生成一個用戶信息頁面,裡面記錄該用戶所輸入的個人信息,並且該頁面允許任何人查看。這樣的「開放性」背後帶來的的風險不可想像,首當其衝的就是「脫庫」風險。在這樣無加密的環境只需要編寫一個程序,根據ID順序依次訪問各個網頁並抓取其中欄位信息,就可以得到一個龐大的用戶資料庫。
網友擔憂
如果說按子彈簡訊官方給出的數據,
僅上線9天,這個資料庫一旦被脫庫,就將有4,000,000個用戶信息可能被泄露
,後果不堪設想……而目前大部分平台(比如微信)在網頁版是需要校驗身份的,用戶信息多數是去敏的。
通過對某些敏感信息通過脫敏規則進行數據的變形,實現敏感隱私數據的可靠保護。
手機號碼泄露
除了網頁版出現安全問題,還有部分網友反映添加了對方子彈簡訊之後界面會顯示對方手機號碼。
如果結合子彈簡訊的「發現錘友」功能,那隨便添加就能知道附近人的手機號碼,這帶來的安全隱患也是不容小覷的。
任性的「隱私協議」
針對上面提到的各種隱私風險,我們不免都有點怕怕的,回頭去看子彈簡訊官方的隱私協議,結果又被嚇了一大跳。
收集信息範圍較大,包括身份證、面部特徵、護照,甚至指紋信息……
而下面這句更是引起來巨大爭議,
「快如科技將儘可能保障安全,但是對隱私信息的維護或保密無法做出任何確定性的保證或承諾」。
如果說官方都無法確定性保證信息不被泄露,那請問誰能保證?
子彈簡訊隱私協議
當然,互聯網環境如此複雜,多渠道都可能出現信息泄露的情況。但是人家也都沒好意思直接說「無法確定性保證」,大部分是根據不同情況做了一些責任的具體分配。
微信隱私保護指引
比如微信在
《微信隱私保護指引》
中表示,將努力為用戶的信息安全提供保障,以防止信息的丟失、不當使用、未經授權訪問或披露。並稱「將在合理的安全水平內使用各種安全保護措施以保障信息的安全。若發生個人信息泄露等安全事件,會啟動應急預案,阻止安全事件擴大,並以推送通知、公告等形式告知用戶。」社交之殤無法避免?
在前幾天的文章中我們提到了airdrop中充斥大量「不良」消息(你的」蘋果」可能有毒!變身「搭訕」利器,被「黑化」的AirDrop),無獨有偶,此類信息又在子彈簡訊中也出現了。
不僅發送消息,還有很多群組內也充斥著這些信息,而且還缺乏群審核和群拉黑功能,相當於你隨手搜群誰都進入……
社群充斥大量不良信息
聽說一不小心火到國外也有這茬子事……
老外也在吐槽…
而這裡就涉及到子彈簡訊在設計之初的一個重要功能——
「與非子彈簡訊用戶的好友也可以直接發送信息」
。如此一來,結合「發現錘友」、讀取通訊錄等功能,這簡直就變成黑產的「
移動信息發射台
」,也難怪廣大網友不停的吐槽。網友吐槽
官方目前的監管力度很弱,目前對於這些不良用戶和信息要是是用戶舉報,後台再進行手動處理的模式。
官方論壇回應
官方也在努力
2018年8月29日子彈簡訊也給出了官方聲明,對於上述的隱私泄露等問題做出了一系列的改進。
官方聲明
比如
對網頁版介面進行限頻,從而減少「脫庫」風險。對於手機號直接顯示的情況也緊急修復了
。官方的響應還是比較迅速的,在風險轉化成危害之前就做出了努力
,這大概是老羅和「快如科技」在此次子彈簡訊事件中做的最明智的一步。當然,初生的產品難免磕磕絆絆,廣大網友也提出了很多改進的建議:
賬號
註銷
和手機號
更綁功能
未上線;對於未註冊的用戶直接簡訊發送鏈接,存在費用爭議;
對於
新聞信息流
大家褒貶不一,目前來看過早的在社交軟體中插入新聞(尤其直接是騰訊新聞、今日頭條)難免引起不適;對於陌生人直接發送消息,尤其很多
不知名的鏈接
,也很容易讓人擔憂背後是否安全,平台對於鏈接來源是否有檢測等問題;不敢點的鏈接
產品剛上線時,出現很多驗證碼和註冊頁面的卡頓、閃退現象,
伺服器不太穩定
,不過這一點官方有在做出回應和優化;……
聊到這裡,至少從目前來看子彈簡訊的完成度,或多或少有些倉促了。從公司成立到產品第一版僅三個月時間。除了堅果手機自帶的版本之外,移動端出來的Bug很多,目前IOS已經更新了四版,更新內容基本上均是修改軟體Bug。
互聯網圈子,節奏越來越快,老羅想要衝出原有的社交生態,邁出更具有可能性的一步。這是創新,是好事。但是過度的渲染、操之過急的「邁大步子」或許會讓用戶和創業者都迷失。
用戶的隱私安全,應當是所有工作之中的重中之重,不容兒戲。
在路上我們還需要再謹慎一些,莫將一片雄心被黑產所用。
參考來源:
1.《鎚子子彈簡訊會成為主流嗎?》——知乎
2.《衝上 App Store 榜第二名:羅永浩的《子彈簡訊》,真的能打贏微信…》——愛范兒
3.《請勿使用鎚子的子彈簡訊,至少暫時別用!泄漏用戶隱私,微信手機號一個都沒落下,註冊完就註銷不了賬號》——私銀
*本文作者:GEETEST極驗,轉載請註明來自FreeBuf.COM
※Aws_Public_Ips:獲取AWS賬戶關聯的所有IP地址(IPv4IPv6)的工具
※20多萬台MikroTik路由器被黑,用戶被迫扛起鋤頭挖礦
TAG:FreeBuf |