原标题:罗永浩的子弹短信被爆 泄露个人信息
在8月20日的锤子科技新品发布会上,罗永浩除了给我们带来了新的坚果Pro 2S手机之外,也正式发布了三款新应用,TNT、子弹短信和无限屏。
从发布会的演示来看,子弹短信是一款效率很高的沟通工具,为了使用方便以及适于推广,子弹短信采取了不安装也可以用的设计,也就是用户说当其他用户收到了子弹短信之后,可以直接通过网址进入到网页版的子弹短信查看信息并使用。
子弹短息logo
而就是这款号称未来可能取代微信的子弹短信,现在却曝出了安全漏洞问题!有网友发现,子弹短信的用户个人信息可以直接通过源代码查看,并且通过网址输入用户ID就可以查看到该用户的相关信息。
源码截图
1. 用户 id 自增可遍历;2. 未注册但被收集了手机号(授权通讯录或发短信)会被暴露在 nickname 字段。
什么意思呢,就是在子弹短信页面url最后面那个数字代表用户id,这个id没有特殊处理,按照数字顺序添加可以查看所有用户信息。锤科又没有加密,明文处理手机号码,所有手机号码都泄露了。而且,如果子弹短信用户授权通讯录权限,那么这用户的通讯录好友的名单也会上传,虽然那些好友没注册,但手机手机号码和存储名字也都暴露在页面中。
从目前的情况看,官方已经对安全漏洞进行了处理。比如针对网页存在的问题,官方现在直接关闭了查看信息的页面,但由于官方没有做任何回应,所以个人信息有没有进一步做加密处理也就不得而知了。而对于直接显示手机号的问题,官方也表示正在处理!
不知道您对此事怎么看呢?您是否也是锤子科技的爱好者呢?