小红书开发者后门遭破解,隐私风险引关注
修改于06/1943 浏览
2025年6月18日,小红书被曝存在安全漏洞,用户可通过特定操作进入开发者模式。具体操作是打开小红书APP,进入“我的-设置”,对着页面标题连续点击6-10次,弹窗后输入“xhsdev”,即可进入。
进入开发者模式后,用户可以看到满屏的调试选项、性能监控工具和内部配置参数,甚至能直接抓取网络请求数据,还可以关闭HTTPS加密协议。此外,该模式下可直接模拟多线程操作、修改KV存储,数据库表结构、推荐算法参数、内部微服务域名及端口等高敏感信息也被直接暴露。
此次事件极有可能是人为失误造成的,开发环境的代码或配置泄露到了生产环境。可能是写代码时环境配置错误,也可能是流水线构建APP时配置项填错,还有可能是A/B测试时写错了配置。
事故发生后,小红书的应急响应速度较快,在几个小时后就无法通过原密码进入后门。但截至6月19日,小红书官方尚未发布关于此次事故原因的正式说明。
