不久前被以侵权为由从App Store强制下架的匿名社交应用“无秘”,刚刚借道“友秘”重回苹果市场,却陷入新的麻烦。
近日著名“白帽子”猪猪侠在其微博爆料,“无秘”网络边界可被绕过,黑客能够进入内网接触到大量服务器和数据,并留下一句“乌云7月见”引人遐想。
随着美国正牌“秘密”类应用Secret官方中文版进入中国,“乌鸦”“呵呵”等一系列同类应用也纷纷攘攘,匿名社交市场的竞争越来越激烈。
而信息安全正成为它们的软肋。
“秘密”可能被黑客攻破
“无秘”方面称,用户登录时使用的手机号码被不可逆算法加密,就算黑客获得数据库,也无法还原秘密究竟是出自哪个手机号,只有获得用户的手机,才能确切知道秘密的发布者。
“手机号码的长度是有限的,而前三位又是确定的,如138、139、156,这样需破解的数字只剩下八位。”复旦大学软件学院副教授杨珉解释,匿名化的算法依赖现有的技术,算法强度不够高,使用专业的工具,可以在几分钟内就推算出手机号后面的几位,对专业人员来讲,将号码逆转回去,并不困难。
杨珉的解释从侧面印证了猪猪侠的说法。
“无秘这样的创业公司,没有足够规模,在产品上市之前,很难做全面测试,像BAT这类大型公司,会有专业安全工程师做测试,所以不建议使用这些应用。”360网站安全总监胡振勇向《IT时报》记者介绍,黑客通过系统漏洞,直接把所有数据拿走,即所谓“拖库”,App开发公司的强项在于产品,但安全防护意识可能比较薄弱,360在做类似产品的时候,会有安全工程师做渗透测试,内部人士渗透不成功时,才会让系统上线。
刚刚进入中国的Secret中文版负责人则表示,虽然中文版源代码在美国研发,但在国内有专门团队负责服务,而且服务器放在Google上,“只要Google不被攻击,Secret就不会被攻击。”
世泽律师事务所合伙人孙铭认为,用户使用匿名社交应用,信息被泄露属于民事违约行为,应用开发团队违反了对用户的承诺。如果应用内部工作人员故意泄露信息,可以起诉相关人员。
“秘密”类App尚不成商业气候
“网页设计成蓝黑底色,加上‘秘密’两个字,看上去神秘兮兮的,8年前,我朋友一个人创建秘密网,同时担任站长和管理员,化名为‘黑衣大哥哥’,每天给用户回复评论,增加人气,不久后秘密网因为涉及不良信息被封。”从业10年的律师“高素质蓝领”最近发现,一个多年没联系的朋友近日“东山再起”。这位朋友便是糗事百科的创始人王坚,现在很火的秘密App及秘密网,正是王坚这几年新开发的产品。
但在天使投资人看来,匿名应用软件的商业模式并不清楚,不太容易盈利,天使投资人麦刚对《IT时报》记者表示,早期投资可以考虑,不过这很有挑战,在商业上成功概率很小。
除了信息安全外,知识产权也是这类App的硬伤。在国外,要复制同样的产品,会遭到法律诉讼,但中国类似产品已经超过20款。仅今年5月以来,至少有8款匿名社交产品推出,如啪啪团队的“乌鸦”、大街网的“吐司”、YY的“秘密圈”、原啪啪团队做的“呵呵”等,市场竞争可谓激烈。
面对国内如此众多的竞争者,中国Secret团队并不担心,据其发言人透露,中文版Secret在产品性能、用户体验上,沿用了美国产品的特色。
其发言人称,每推出一个新功能之前,都要经过大量的试用、研发,设计都较为精致。