“阅后即焚”加密通信软件 Confide 存多个漏洞，暴露用户隐私信息

加密通讯软件 Confide 显然不像它声称的那么安全，安全公司 IOActive 经过测试发现了一系列安全漏洞可窃取数据、接管账号。

Confide 是一种聊天不留痕迹的军工级通讯工具，采用端到端加密技术，消息在读取后便会消失，而且可以防止截图。美国现任总统特朗普的工作人员也正在使用这种号称加密、阅后即焚的软件 。

根据 IOActive 的报告，confide 安全漏洞可被攻击者利用劫持帐户、窃取敏感信息。从 2 月 22 日到 24 日之间，研究员获得了超过 7000 个帐户近百万条聊天记录。

攻击者通过漏洞还可进行以下操作：

1、通过劫持帐户会话来模拟其他用户
2、通过猜测密码来模拟其他用户
3、窃取特定 Confide 用户的联系方式（即真实姓名、电子邮件地址和电话号码）
4、无需解密即可修改传输中的邮件或附件的内容
5、发送格式错误的信息将到导致程序崩溃

Confide  官方于 3 月 2 日 发布更新修复了主要漏洞。3 月 8 日 Confide 对外公布了事件详情。

原作者：Pierluigi Paganini，译者：M帅帅

from hackernews.cc.thanks for it.