近日,研究人员对流行的社交媒体应用程序RedNote(小红书)进行了网络安全问题分析,发现其多个版本在传输查看的图片和视频时使用HTTP协议,网络窃听者可以轻松得知用户浏览的内容。某些版本的RedNote还存在漏洞,允许网络攻击者读取RedNote有权限访问的任何文件,这一问题源于RedNote使用的上游软件开发工具包(SDK)NEXTDATA,但未在Google Play商店下载的Android版本和iOS版本中发现。
此外,研究人员发现所有分析过的RedNote版本在传输设备元数据时加密不足,有时使用TLS而不进行证书验证,网络攻击者可以获取设备和网络元数据,如设备屏幕大小和移动网络运营商。这一问题由另一上游SDK MobTech引入。
研究人员分别于2024年11月13日向NEXTDATA、2024年11月26日向MobTech和2025年1月16日向RedNote披露了相关问题,但截至发稿时,尚未收到任何回应。
所有发现的问题都可以通过使用TLS来缓解。该研究再次强调了使用良好支持的加密实现的重要性。
RedNote(小红书)是一个在全球拥有超过3亿活跃用户的流行中国社交媒体应用程序,尤其在中国游客、华侨和最近的美国用户中备受欢迎。2025年1月,美国政府决定禁用TikTok后,约有300万美国用户转向RedNote,使其在全球范围内引起广泛关注。
🔗 来源:The Citizen Lab
发表回复