约会应用Raw泄露用户数据，包括位置和性取向

由于一项重大的安全缺陷，Raw应用泄露了用户的位置和个人数据，引发了对其新的AI驱动的关系跟踪设备的担忧。

如TechCrunch首次披露，约会应用Raw中存在严重的安全漏洞，这使得任何在线的人都能获取用户的个人信息和位置数据。被暴露的数据包括用户的姓名、出生日期、性取向，以及精确的GPS坐标，使得可以进行到街道级别的位置追踪。

在2023年推出的Raw已经超过500,000次下载，它通过要求用户每日上传自拍照片来鼓励建立真实的关系。

TechCrunch注意到，这个星期，该公司还宣布了一款可穿戴设备，名为Raw Ring，声称它可以监测伙伴的心率并提供由AI生成的洞察，可能用于发现欺骗行为。

尽管声称使用端到端加密，但TechCrunch发现并无此类保护。他们的分析显示，用户数据可以通过知名网址自由地在浏览器中访问。

“所有之前暴露的端点都已得到保护，我们已经实施了额外的保防措施，以防止未来出现类似的问题。” Raw公司的联合创始人Marina Anderson通过电子邮件对TechCrunch说。

当被问及时，安德森承认该应用没有经过任何第三方的安全审计。她补充说，公司仍在进行调查，并将“根据适用的规定，向相关的数据保护机构提交一份详细的报告。”

然而，TechCrunch注意到，她并未确认是否会单独通知用户，或者是否会更新隐私政策。

TechCrunch解释称，这种被发现的漏洞类型被称为不安全的直接对象引用（IDOR）——一种常见但危险的错误。这种情况发生在应用程序使用容易被猜测的标识符，如数字或文件名，来控制对数据的访问。

例如，如果一个用户的个人资料是通过一个带有数字的URL进行访问的（比如/profile/123），攻击者就可以改变这个数字，查看别人的个人资料（例如，/profile/124）。如果没有适当的安全检查，他们可以利用这一点，访问或修改他们不应该接触的数据。

TechCrunch的安全研究员通过一项模拟数据和位置的测试发现了这个漏洞，这个漏洞在几分钟内就被揭示出来。这个漏洞使用户通过修改应用程序网址中的一个数字来访问个人资料，直到开发人员修复了这个问题。

尽管已经进行了修复，但人们仍然对Raw的数据处理方式以及其新设备的侵入式监控潜力表示担忧。