欢迎来到中国舆情法治网 !

    地  方:

危机应对

子弹短信上线10天"漏洞百出" 还是个蹒跚学步的孩童



发布时间:2018-08-31 14:51:07   来源:   作者:记者:薛星星 编辑:苏琦

       来源:寻找中国创客 记者:薛星星 编辑:苏琦

  子弹短信继续高歌猛进着。

  8月30日,子弹短信官方微博宣布,截至8月30日0点14分,子弹短信总注册量已经超过400万。距离子弹短信正式上线,才刚刚过去了一周时间。

  “36个同事,平均年龄27岁,上线7天,吸引54家投资机构,3天完成融资1.5亿。”子弹短信在宣传海报上骄傲地列出一组数据,并称“这只是光荣与梦想的开始”。

  作为子弹短信背后的男人,罗永浩也一如既往地在微博上为其站台,“他们也许是中国最好的选择了”。

  但与此同时,子弹短信平台上也出现了大量色情、骚扰信息。多位网友在社交媒体上表示,自己在群聊中常常收到别人发送的黄色信息及图片。且由于子弹短信无需添加对方好友即可发送信息的功能,不少营销号借此向用户发送骚扰信息。

  国外一位长期关注腾讯及微信的分析师 Matthew Brennan 在 twitter 上称,“真的很困惑子弹短信为什么会突然火爆起来,在玩了几个小时后,对它的第一印象就是充满了色情和骚扰信息。”

  截至目前,子弹短信尚未对此做出回应。

  涉嫌泄露用户隐私,官方称问题已解决

  这已经不是这款网红软件第一次曝出负面消息了,虽然距离它正式发布也才刚刚不到10天时间。

  8月23号,网上就有爆料称子弹短信存在泄露用户隐私的情况。相关报道称,子弹短信的用户信息可以直接通过源代码查看,通过网址输入用户ID就可以查看该用户的相关信息。

  被泄露的用户信息除了用户的子弹短信ID及网名之外,还可以看到其所在地、对应的微博账号、微信号、QQ账号、Smartisan账号等一系列账号信息,且均为明文显示,未做加密处理。

  一位互联网安全领域的人士对记者表示,这是由于服务端存储了用户的通讯明文内容,可以通过链接的方式访问,对链接又没有做权限控制。

  “说白了就是最简单的越权,比如你正常访问一个链接看到自己的信息,把链接对应的编号改一下,却看到了别人的信息,这种漏洞很容易被人利用,影响却很大。”该人士称。

  此外,也有用户发现,子弹短信在陌生人添加好友时,可以看到对方的手机号,存在巨大的安全隐患。

  相关消息在此后几天一直未受到人们关注。直到8月27号,子弹短信完成1.5亿元融资之后,关于其泄露用户隐私的事情才最终发酵出来。

  虽然子弹短信于23号就在微博上对此事做出了回应,但大家好像并没有注意到这个声明。

  这使得子弹短信不得不于8月29号再次发出官方声明,称产品自8月20日正式上线后,由于web端接口设计疏漏,确实出现过web端显示明文手机号和自增ID的问题。团队于21日晚间发现相关问题后,已立刻停止了web端服务,产品也已于23日重新上线。

  另外,由于接口设置有限频功能,第三方无法实现拖库,因此并不能将用户信息批量导出去。关于添加陌生人好友时,可以看到对方手机号的问题也已解决。

  上述互联网安全领域人士对记者称,子弹短信web端的漏洞,可以通过越权的方式遍历(沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问),但会留下浏览记录,厂家观察下日志就会发现。不过既然官方进行了设置,应该也就没有什么问题了。

  随后,记者尝试通过源代码查看子弹短信的用户注册信息,发现已无法打开相关网站。

  子弹短信:一个蹒跚学步的孩童

  回过头来看,子弹短信的每一个功能看起来都十分的方便快捷,和老罗之前在锤子手机中推出的众多功能类似,处处都体现了“以人为本”的设计理念。

  比如使用语音输入,并且无需进入聊天界面,在对话栏就可以直接回复消息;比如不要求对方安装子弹短信,也可以向对方发送消息;还有一些稍后处理、历史头像等细微处的小功能……

  “我觉得早期子弹短信都是在做差异化,很多微信不做或者没做好的功能,子弹短信都有涉及,并且尝试做深。”一位使用了子弹短信的创业者对记者说。

  不过,随着子弹短信的火爆,这些设计初衷是为了提高聊天效率的功能也变成了用户的困扰。一些色情信息、营销号开始在子弹短信中疯狂传播。

  原本常年在QQ聊天中出没的兜售“小视频”的不良账号,也与时俱进开始潜入子弹短信。由于子弹短信不要求对方安装也可发送信息的机制,使得不少未注册子弹短信的用户也不堪其扰。

  国外分析师 Matthew Brennan 在社交软件Twitter上吐槽,子弹短信“充满了色情和骚扰信息”,而这些信息大多数在微信平台上都会被屏蔽。

  但讽刺的是,相关用户发送色情视频的文件,是存储在腾讯微云上的。

  子弹短信方面尚未对此事作出回应。寻找中国创客(ID:xjbmaker)试图联系子弹短信方面,对方公关人员表示:“创始人一直在外面开会,联系不到。”

  曾和老罗上演“优酷骂战”的ZEALER创始人王自如甚至在一次直播中称,子弹短信采用的是“微信+今日头条”的模式来保持用户粘性,“能活一年就不错了”。

  但无论如何,和大多数同类型的软件相比,子弹短信至少在起跑线上领先了一大步。但它更像是一个刚刚学会了走路的儿童,在软件内部功能尚不完善之时,就开始跌跌撞撞地向终点线跑去。

  *部分图片来源于视觉中国


责任编辑:柳雪珂
0
免责声明:
① 凡本网注明稿件来源:“中国舆情法治网”的所有文字、图片和音视频稿件,版权均属中国舆情法治网所有,任何媒体、网站或 个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本网协议授权的媒体、网站,在下载使用时必须注明稿 件来源:“中国舆情法治网”,违者本网将依法追究责任。
② 本网未注明稿件来源:“中国舆情法治网”的文/图等稿件均为转载稿,本网转载出于传递更多信息之目的,并不意味着赞同其观点或 证实其内容的真实性。如其他媒体、网站或个人从本网下载使用,必须保留本网注明的“稿件来源”,并自负版权等法律责任。如擅 自篡改为稿件来源:“中国舆情法治网”,本网将依法追究责任。如对稿件内容有疑议,请及时与我们联系。 新闻纠错:010-63728972 邮箱:yqfz@chinaxwjd.cn
③ 如本网转载稿涉及版权等问题,请作者在两周内速来电或来函与中国舆情法治网联系。

地方舆情

友情链接

中国舆情法治网 关于我们 联系我们 律师团队 地方链接