小众约会应用中的大规模隐私泄露事件暴露了用户的敏感照片

作为对 iOS 应用程序安全漏洞的大规模调查的一部分，Cybernews 发现了一些明显的问题，这些问题可能导致一些小众约会应用程序中的私密照片大量泄漏，而所有这些照片都来自一家名为 M.A.D. Mobile 的公司。这些照片不仅来自公开的个人资料和帖子，还来自用户聊天记录，甚至包括那些被版主删除的照片。不用说，这些照片中有许多是露骨的。

M.A.D. Mobile 的五个应用程序受到了影响，包括 BDSM People、豪华 "糖约会 "应用程序 Chica 以及 LGBT 应用程序 Pink、Brish 和 Translovefound。所有这些应用程序不仅使用了相同的架构，而且还在应用程序代码中以明文形式公开留下了关键的安全凭证。正是这些密钥将研究人员引向了谷歌云存储桶，那里的照片没有任何加密或密码保护。这意味着任何人只要拥有公开曝光的 URL，就可以访问这些媒体。

当然，任何时候私人照片都有可能暴露给 恶意行为者当然，任何时候私人照片都有可能暴露给恶意行为者，都存在骚扰、勒索和名誉受损的风险。但是 隐私泄露对于专业约会应用程序的用户来说，后果可能会更严重，尤其是在同性恋在许多国家都是非法的情况下。

此次泄密事件的规模令人震惊--超过 150 万张用户上传的照片，或数百 GB 的数据。值得庆幸的是，被泄露的数据不包含用户身份、用户名、电子邮件或信息，但简单的反向图片搜索就能轻松解决这个问题。值得注意的是，这五款应用程序都是 iOS 独占，没有Android 或网页版本。

Cybernews 的研究人员在 1 月份首次联系了 M.A.D. Mobile，但泄密事件仍未得到解决。Cybernews 担心该公司继续不作为，并违背自己的标准做法，决定在该问题得到修复之前在发布一份报告。在问题得到解决之前发表了一篇报道。直到BBC 向该公司发送电子邮件后该公司的代表才回复说，问题确实已经解决，同时感谢研究人员的帮助。

这一事件只是强调了网络安全领域许多人已经知道的事实：第三方 iOS 应用程序 绝非天生安全防止数据泄露。事实上，Cybernews 的调查得出了一个令人不安的结论。在接受调查的 15.6 万个应用程序（占Apple Store 上所有应用程序的 8%）中，71% 的应用程序被发现至少暴露了一个秘密。平均每个应用程序的代码暴露了 5.2 个秘密。

从这一事件中得到的最大启示是，用户应避免使用来自陌生发行商的应用程序，尤其是涉及高度敏感信息时。具体来说，敏感媒体只能在以下平台上共享 加密平台和服务，这些平台和服务不仅能提供一定程度的保护，还能对公众负责。