不久前被以侵權為由從App Store強制下架的匿名社交應用“無秘”,剛剛借道“友秘”重回蘋果市場,卻陷入新的麻煩。
近日著名“白帽子”豬豬俠在其微博爆料,“無秘”網絡邊界可被繞過,黑客能夠進入內網接觸到大量服務器和數據,並留下一句“烏雲7月見”引人遐想。
隨著美國正牌“秘密”類應用Secret官方中文版進入中國,“烏鴉”“呵呵”等一系列同類應用也紛紛攘攘,匿名社交市場的競爭越來越激烈。
而信息安全正成為它們的軟肋。
“秘密”可能被黑客攻破
“無秘”方面稱,用戶登錄時使用的手機號碼被不可逆算法加密,就算黑客獲得數據庫,也無法還原秘密究竟是出自哪個手機號,隻有獲得用戶的手機,才能確切知道秘密的發佈者。
“手機號碼的長度是有限的,而前三位又是確定的,如138、139、156,這樣需破解的數字隻剩下八位。”復旦大學軟件學院副教授楊珉解釋,匿名化的算法依賴現有的技術,算法強度不夠高,使用專業的工具,可以在幾分鐘內就推算出手機號後面的幾位,對專業人員來講,將號碼逆轉回去,並不困難。
楊珉的解釋從側面印證瞭豬豬俠的說法。
“無秘這樣的創業公司,沒有足夠規模,在產品上市之前,很難做全面測試,像BAT這類大型公司,會有專業安全工程師做測試,所以不建議使用這些應用。”360網站安全總監胡振勇向《IT時報》記者介紹,黑客通過系統漏洞,直接把所有數據拿走,即所謂“拖庫”,App開發公司的強項在於產品,但安全防護意識可能比較薄弱,360在做類似產品的時候,會有安全工程師做滲透測試,內部人士滲透不成功時,才會讓系統上線。
剛剛進入中國的Secret中文版負責人則表示,雖然中文版源代碼在美國研發,但在國內有專門團隊負責服務,而且服務器放在Google上,“隻要Google不被攻擊,Secret就不會被攻擊。”
世澤律師事務所合夥人孫銘認為,用戶使用匿名社交應用,信息被泄露屬於民事違約行為,應用開發團隊違反瞭對用戶的承諾。如果應用內部工作人員故意泄露信息,可以起訴相關人員。
“秘密”類App尚不成商業氣候
“網頁設計成藍黑底色,加上‘秘密’兩個字,看上去神秘兮兮的,8年前,我朋友一個人創建秘密網,同時擔任站長和管理員,化名為‘黑衣大哥哥’,每天給用戶回復評論,增加人氣,不久後秘密網因為涉及不良信息被封。”從業10年的律師“高素質藍領”最近發現,一個多年沒聯系的朋友近日“東山再起”。這位朋友便是糗事百科的創始人王堅,現在很火的秘密App及秘密網,正是王堅這幾年新開發的產品。
但在天使投資人看來,匿名應用軟件的商業模式並不清楚,不太容易盈利,天使投資人麥剛對《IT時報》記者表示,早期投資可以考慮,不過這很有挑戰,在商業上成功概率很小。
除瞭信息安全外,知識產權也是這類App的硬傷。在國外,要復制同樣的產品,會遭到法律訴訟,但中國類似產品已經超過20款。僅今年5月以來,至少有8款匿名社交產品推出,如啪啪團隊的“烏鴉”、大街網的“吐司”、YY的“秘密圈”、原啪啪團隊做的“呵呵”等,市場競爭可謂激烈。
面對國內如此眾多的競爭者,中國Secret團隊並不擔心,據其發言人透露,中文版Secret在產品性能、用戶體驗上,沿用瞭美國產品的特色。
其發言人稱,每推出一個新功能之前,都要經過大量的試用、研發,設計都較為精致。