TGTGInsighttelegram intelligenceLIVE / telegram public index
Indhold
Opslagsindhold
https://citizenlab.ca/2025/02/network-security-issues-in-rednote/ 关键发现 我们在Android和iOS上分析了RedNote的网络安全问题,发现所有版本的RedNote都通过HTTP获取查看的图像和视频,这使得网络窃听者能够确切了解用户正在浏览的内容。 某些版本的RedNote包含一个漏洞,该漏洞使网络攻击者能够了解RedNote有权在用户设备上读取的任何文件的内容。这个问题是由RedNote、NEXTDATA使用的上游软件开发工具包(SDK)引入的,但从Google Play商店下载的Android版本和iOS版本中都没有出现。 我们分析的所有版本的RedNote也传输加密不足的设备元数据,有时在没有证书验证的情况下通过TLS传输,使网络攻击者能够学习设备和网络元数据,如设备屏幕尺寸和移动网络运营商。这个问题是由上游SDK MobTech引入的。 我们负责任地于2024年11月13日向NEXTDATA、2024年11月26日向MobTech披露了相关问题,并于2025年1月16日向RedNote披露了相关问题。在发布时,没有一方回应我们的披露。 我们发现的所有问题都可以通过使用TLS来缓解。这项工作再次强调了使用支持良好的加密实现的重要性。