子弹短信上线10天"漏洞百出" 还是个蹒跚学步的孩童

子弹短信继续高歌猛进着。

8月30日，子弹短信官方微博宣布，截至8月30日0点14分，子弹短信总注册量已经超过400万。距离子弹短信正式上线，才刚刚过去了一周时间。

“36个同事，平均年龄27岁，上线7天，吸引54家投资机构，3天完成融资1.5亿。”子弹短信在宣传海报上骄傲地列出一组数据，并称“这只是光荣与梦想的开始”。

作为子弹短信背后的男人，罗永浩也一如既往地在微博上为其站台，“他们也许是中国最好的选择了”。

但与此同时，子弹短信平台上也出现了大量色情、骚扰信息。多位网友在社交媒体上表示，自己在群聊中常常收到别人发送的黄色信息及图片。且由于子弹短信无需添加对方好友即可发送信息的功能，不少营销号借此向用户发送骚扰信息。

国外一位长期关注腾讯及微信的分析师 Matthew Brennan 在 twitter 上称，“真的很困惑子弹短信为什么会突然火爆起来，在玩了几个小时后，对它的第一印象就是充满了色情和骚扰信息。”

截至目前，子弹短信尚未对此做出回应。

涉嫌泄露用户隐私，官方称问题已解决

这已经不是这款网红软件第一次曝出负面消息了，虽然距离它正式发布也才刚刚不到10天时间。

8月23号，网上就有爆料称子弹短信存在泄露用户隐私的情况。相关报道称，子弹短信的用户信息可以直接通过源代码查看，通过网址输入用户ID就可以查看该用户的相关信息。

被泄露的用户信息除了用户的子弹短信ID及网名之外，还可以看到其所在地、对应的微博账号、微信号、QQ账号、Smartisan账号等一系列账号信息，且均为明文显示，未做加密处理。

一位互联网安全领域的人士对记者表示，这是由于服务端存储了用户的通讯明文内容，可以通过链接的方式访问，对链接又没有做权限控制。

“说白了就是最简单的越权，比如你正常访问一个链接看到自己的信息，把链接对应的编号改一下，却看到了别人的信息，这种漏洞很容易被人利用，影响却很大。”该人士称。

此外，也有用户发现，子弹短信在陌生人添加好友时，可以看到对方的手机号，存在巨大的安全隐患。

相关消息在此后几天一直未受到人们关注。直到8月27号，子弹短信完成1.5亿元融资之后，关于其泄露用户隐私的事情才最终发酵出来。

虽然子弹短信于23号就在微博上对此事做出了回应，但大家好像并没有注意到这个声明。

这使得子弹短信不得不于8月29号再次发出官方声明，称产品自8月20日正式上线后，由于web端接口设计疏漏，确实出现过web端显示明文手机号和自增ID的问题。团队于21日晚间发现相关问题后，已立刻停止了web端服务，产品也已于23日重新上线。

另外，由于接口设置有限频功能，第三方无法实现拖库，因此并不能将用户信息批量导出去。关于添加陌生人好友时，可以看到对方手机号的问题也已解决。

上述互联网安全领域人士对记者称，子弹短信web端的漏洞，可以通过越权的方式遍历(沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问)，但会留下浏览记录，厂家观察下日志就会发现。不过既然官方进行了设置，应该也就没有什么问题了。

随后，记者尝试通过源代码查看子弹短信的用户注册信息，发现已无法打开相关网站。

子弹短信：一个蹒跚学步的孩童

回过头来看，子弹短信的每一个功能看起来都十分的方便快捷，和老罗之前在锤子手机中推出的众多功能类似，处处都体现了“以人为本”的设计理念。

比如使用语音输入，并且无需进入聊天界面，在对话栏就可以直接回复消息;比如不要求对方安装子弹短信，也可以向对方发送消息;还有一些稍后处理、历史头像等细微处的小功能……

“我觉得早期子弹短信都是在做差异化，很多微信不做或者没做好的功能，子弹短信都有涉及，并且尝试做深。”一位使用了子弹短信的创业者对记者说。

不过，随着子弹短信的火爆，这些设计初衷是为了提高聊天效率的功能也变成了用户的困扰。一些色情信息、营销号开始在子弹短信中疯狂传播。

原本常年在QQ聊天中出没的兜售“小视频”的不良账号，也与时俱进开始潜入子弹短信。由于子弹短信不要求对方安装也可发送信息的机制，使得不少未注册子弹短信的用户也不堪其扰。

国外分析师 Matthew Brennan 在社交软件Twitter上吐槽，子弹短信“充满了色情和骚扰信息”，而这些信息大多数在微信平台上都会被屏蔽。

但讽刺的是，相关用户发送色情视频的文件，是存储在腾讯微云上的。

子弹短信方面尚未对此事作出回应。寻找中国创客(ID：xjbmaker)试图联系子弹短信方面，对方公关人员表示：“创始人一直在外面开会，联系不到。”

曾和老罗上演“优酷骂战”的ZEALER创始人王自如甚至在一次直播中称，子弹短信采用的是“微信+今日头条”的模式来保持用户粘性，“能活一年就不错了”。

但无论如何，和大多数同类型的软件相比，子弹短信至少在起跑线上领先了一大步。但它更像是一个刚刚学会了走路的儿童，在软件内部功能尚不完善之时，就开始跌跌撞撞地向终点线跑去。【责任编辑/雷露露】

(原标题：子弹短信上线10天"漏洞百出" 还是个蹒跚学步的孩童)

来源：寻找中国创客

IT时代网(关注微信公众号ITtime2000，定时推送，互动有福利惊喜)所有原创文章版权所有，未经授权，转载必究。
创客100创投基金成立于2015年，直通硅谷，专注于TMT领域早期项目投资。LP均来自政府、互联网IT、传媒知名企业和个人。创客100创投基金对IT、通信、互联网、IP等有着自己独特眼光和丰富的资源。决策快、投资快是创客100基金最显著的特点。