OpenDoor 声称自己是一个 iOS 设备上的一款匿名浏览器应用。但事实并非如此。安全研究者 Will Strafach 发现它和他之前所发现的 76 款应用一样容易受到中间人攻击。OpenDoor 接受任何无效证书。它通过 Google Analytics 收集用户访问的网站主机名、完整的 URL、移动运营商名称、语言代码、手机系统版本等。应用内置的搜索引擎网站列表除了 DuckDuckGo 外都使用了不安全的 HTTP。它使用了私有的 IOKit 框架来尝试获取 iOS 设备序列号。此外,它还申请了不必要的权限,诸如蓝牙、日历、相机、麦克风、GPS 等,但却找不到使用这些权限的理由。Strafach 也注意到,2013 年中国政府要求苹果公司下架 OpenDoor 应用,他认为这或许是一件好事,“这个应用完全不适合要求隐私、安全、匿名的用户使用,用户应当考虑使用这个应用期间所发送的任何数据带来的潜在风险,” 他在结论里写道。
本文永久更新链接地址:http://www.linuxidc.com/Linux/2017-03/141363.htm