客户端过滤私密数据并不可靠

2024-08-20

本文作者通过分析约会应用 Feeld 的 Android 客户端,发现该应用存在严重的数据隐私问题。Feeld 声称用户的搜索条件(如性别、性取向等)仅对用户可见,但实际上可以通过修改客户端请求轻松获取这些信息。此外,应用中还存在隐藏的用户信息(如年龄范围、是否喜欢/不喜欢用户等)以及被标记为隐藏但仍然可以访问的个人资料等问题。作者认为,不能依赖客户端过滤来保护数据隐私,私密数据永远不应该被泄露,并且数据库应该设置访问控制列表以限制数据访问。

未分类 客户端安全