Как китайский клон тиндер

1. Китайская армия клонов снова наносит удар
2. За кулисами
3. Грязный разговор
4. Поверхностная красота
5. Перехватывается
6. Когда твой общий секрет не секрет
7. Тантан делит тебя с миром
8. Продавать своих друзей
9. Идеальная пара
10. Преследование Ромео и Джульетты
11. Ответственное раскрытие
12. Почему кого-то это должно волновать?

Обновление: Генеральный директор и соучредитель Tantan Yu Wang связались со мной по электронной почте, чтобы подтвердить эти проблемы. Прочитайте его электронную почту и мой ответ ,

TL; DR: китайский клон Tinder Tantan ставит под угрозу молодых женщин и мужчин, не используя шифрование и не раскрывая личные данные, подобные тем, которые были обнародованы во взломе Эшли Мэдисон.

Неудивительно, что такие приложения для знакомств, как Tinder, которые открывают новые способы снижения рисков, связанных со свиданиями, покорили мир. Китай значительно опережает людей, принимающих участие в онлайн-встречах. Обусловленные тремя десятилетиями невероятно быстро меняющихся социальных изменений, обычно, каждый день люди заводят друзей и встречаются с будущими супругами в Интернете с первых дней QQ ,

Приложения для знакомств особенно интересны с точки зрения информационной безопасности из-за чувствительности поведения, которое они защищают. Люди скрытны о том, с кем они встречаются или с кем общаются. Публичная трансляция ваших последних любовных приключений может привести к неприятностям с друзьями и семьей.

Поведение меняется при использовании приложений для знакомств. Предложенная возможность встретить симпатичного нового мальчика или девочку, люди, которые иначе заботятся об их частной жизни или безопасности их учетных записей онлайн, отбрасывают свои добрые чувства на ветер.

Помочь вам встретить кого-то особенного - это не все, что делает Тантан!

В начале этого года на китайскую сцену приложений для знакомств появился новый игрок под названием Тантан , Друг, который останется безымянным, взволнованно рассказал мне о приложении и милых людях, которые были на нем. Мне пришлось это проверить, мне сказали.

Китайская армия клонов снова наносит удар

Тантан по сути является клоном Тиндера. На первый взгляд, приложение для iPhone выглядит более плавным и изысканным, чем приложение, которое оно копирует. Однако, как мы скоро узнаем, внешность может быть обманчива .

В отличие от Tinder, который использует Facebook для входа в систему, Tantan запрашивает номер телефона для подтверждения вас, а затем предлагает вам выбрать пароль. Как часть процесса регистрации, он запрашивает обычную информацию о профиле в социальной сети и запрашивает разрешение на использование вашего местоположения, чтобы найти людей, которые могут сравниться с вами поблизости.

Затем он предлагает скрыть вас от людей, которых вы уже знаете, если вы хотите поделиться с ними своей контактной книгой. Я не женат и не крадусь за чьей-то спиной, но я определенно не собираюсь отдавать свою книгу контактов неизвестному китайскому стартапу. Позже я узнаю, что был очень рад, что принял это решение.

Я был впечатлен тем, насколько хорошо Тантан функционировал по сравнению с Тиндером. Это было гладко и более удобно для пользователя. К счастью, не хватало и плохого пользовательского опыта перехода между приложениями, созданными в Tinder на Facebook.

Общение в китайских приложениях для знакомств так же скучно, как и у Tinder. Я должен делать это неправильно. Возможно, мне стоит спросить о биткойнах?

Я был немного разочарован тем, что, находясь в Гонконге, а не на материке, на целевом рынке приложений, поблизости было мало людей, чтобы встретиться. Ближайшие пользователи, казалось, были в Шэньчжэне. Ну что ж. Если бы я не мог исследовать красоту людей в приложении, я всегда мог бы исследовать красоту приложения!

За кулисами

Поработав с приложением в течение нескольких минут, я решаю выяснить, была ли красота приложения реальной или только глубокой. Моим первым шагом было подключение моего телефона к ноутбуку при работе с инструментом разработчика Xcode Apple. Это инструмент, который разработчики используют для создания приложений для продуктов Apple.

Одна из функций XCode позволяет просматривать журнал консоли вашего телефона. Журнал консоли представляет собой окно с прокруткой текста - его можно рассматривать как канал Twitter для приложений, работающих на вашем телефоне. Он позволяет узнать, что делает ваш телефон и приложения на нем, а также помогает выявлять и исправлять ошибки программного обеспечения.

Собственные приложения Apple предоставляют периодические обновления, которые помогают разработчикам знать, что делает операционная система, поскольку она периодически просыпается и переводит в режим сна различные части iPhone, которые управляют питанием и условиями радиосвязи и могут в противном случае повлиять на приложения разработчика. Однако профессионально написанные приложения обычно отключают многие из этих сообщений, когда они отправляют свое приложение в App Store по соображениям производительности и для предотвращения попадания конфиденциальной информации в журналы и возможного выхода из устройства.

Грязный разговор

К моему большому удивлению, разработчики Tantan не отключили свои отладочные сообщения, и тонны интересной информации отправлялись в консоль. Первое, что я заметил, было то, что Тантан загружает список «грязных» слов, которые он подвергает цензуре.

На Тантане запрещены встречи для секса ( 约 炮 ) или нудистского общения ( 裸 聊 )!

Список слов написан в коде Unicode что делает его очень легко уважать ,

Поиск 0x804a показывает нам, что это код Unicode для символа « 聊 », что означает «чат».

Я оставлю расшифровку всего списка слов в качестве упражнения для вас, мой верный читатель ( Обновление: Кварц расшифровал их для вас! ), но случайная выборка показывает, что многие слова имеют отношение к контактам и случайному сексу. Здесь можно увидеть только платонические или брачные отношения.

Поверхностная красота

Искать плохие слова - это весело и все такое, но есть и лучшие, более захватывающие вещи. Прокручивая дальше, я увидел имена и адреса их серверов и информацию о запросах, по которым приложение делало перепрошивку.

Казалось странным, что приложение, которое выглядело так хорошо написано на поверхности, было бы таким неряшливым. Мне было интересно заглянуть глубже и посмотреть, если, как и у многих людей, с которыми вы встречаетесь в приложениях для знакомств, изначальная красота Тантана была всего лишь миражом .

Перехватывается

Затем я решил посмотреть, какую информацию посылает приложение и насколько хорошо оно защищено.

Я использовал ssh для подключения к домашнему маршрутизатору и запустил программу tcpdump, чтобы посмотреть, какие данные летают между Tantan, запущенным на моем телефоне, и сервером Tantan. Я посмотрел IP-адрес сервера Tantan, а затем начал наблюдать и собирать трафик с помощью этой команды:

tcpdump -i ppp88 host 223.203.222.15 и порт 80 -n -s 0 -vvv -w tantan

Данные, передаваемые между приложением и сервером, должны быть зашифрованы, чтобы дюжина или более компьютеров, через которые он проходит в своем путешествии через Интернет, не могли их прочитать. Поэтому, естественно, я ожидал увидеть кучу зашифрованных, нечитаемых данных, проходящих через мой маршрутизатор между моим телефоном и сервером Тантана.

К моему большому удивлению, информация, передаваемая между моим телефоном и сервером Тантана где-то по другую сторону Большого межсетевого экрана в глубине материкового Китая, была полностью читаемой. Я мог видеть только что введенный пароль, мой номер телефона и всех людей, с которыми меня сравнивали. И если бы я мог прочитать это, это значит, что любое количество других людей тоже может.

Мой следующий шаг должен был зажечь Wireshark чтобы получить лучшее представление о том, что происходит.

Приложение Tantan запрашивает у сервера больше людей, чтобы провести пальцем по экрану. Будет ли One в этом запросе?

Видя всю эту хорошо структурированную информацию, текущую взад и вперед, пробудил во мне интерес к тому, чтобы узнать больше о том, какие типы данных Tantan собирает у своих пользователей и затем пропускает в мир.

Когда твой общий секрет не секрет

Обычно при обратном проектировании недокументированного API, чтобы выяснить, как он работает, вам понадобится несколько минут, чтобы настроить некоторые инструменты для декодирования зашифрованного содержимого. Однако из-за недостатков безопасности в Tantan было тривиально увидеть, как их приложение и сервер взаимодействуют и общаются друг с другом.

Первое, что я заметил, было то, что они сохранили в приложении фиксированный пароль, который приложение должно предоставить своему серверу, прежде чем приложению будет разрешено подключиться для регистрации нового пользователя или входа в систему существующего пользователя. Этот пароль или общий секрет является статическим и хранится в каждой копии Tantan, загруженной из App Store.

Мы видим имя пользователя для подключения к серверу аутентификации Tantan, 100002, и соответствующий пароль. Если вы хотите сохранить что-то в секрете, вам нужно использовать шифрование.

Якобы, целью этого общего секрета является предотвращение подключения сторонних приложений к серверу Tantan, но без шифрования секрет не был очень секретным.

Тантан делит тебя с миром

Далее я пошел процесс создания нового пользователя. Tantan попросил меня сообщить свою страну и номер телефона, прежде чем он отправил мне текстовое сообщение, позволяющее мне продолжить.

Tantan использует ваш номер телефона в качестве имени пользователя, например, WhatsApp.

После ввода кода мне предложили выбрать пароль и ввести информацию о:

• Мой пол
• Сексуальная ориентация
• Возрастные предпочтения партнера
• интересы
• Хобби

Вся эта информация была отправлена ​​в незашифрованном виде через Интернет .

Поздравляем! Ваши сексуальные предпочтения теперь общедоступны! Разве прозрачность не велика?

Продавать своих друзей

В процессе регистрации после создания учетной записи новым пользователям предлагается поделиться своими контактами с Tantan. Тантан обещает скрыть вас от людей в вашем списке контактов. Можно предположить, что это поможет избежать возможной социальной неловкости показа в качестве потенциального партнера коллеге, бывшему парню или нынешней жене. Думаю, Эшли Мэдисон встречает Тиндера.

Ваши друзья и деловые партнеры доверяют вам свои личные контактные данные. Вы продали их, поделившись им с ненадежным приложением?

Я достаточно осведомлен о разрешениях, которые я предоставляю, и не поделился своей контактной книгой с Tantan, когда я первоначально зарегистрировался. Мальчик, я был рад, что принял это решение, когда узнал, что, если вы поделитесь своей контактной книгой с Tantan, вы увидите персональные данные всех людей, хранящихся в вашем телефоне, которые летают по Интернету, и все увидят.

Идеальная пара

Как только мы зарегистрировались и сообщили Tantan (и всему миру) о наших гендерных и возрастных интересах, приложение Tantan начинает запрашивать у своего сервера возможные совпадения. Это люди, которых мы сможем пролистывать влево или вправо, как на Tinder.

Продолжая изучать незащищенные данные, которые Tantan отправляет нам с помощью tcpdump, мы видим, что служба отправляет нашему телефону несколько возможных совпадений с запросом. С каждым потенциальным совпадением приходит много интересных данных о пользователе. Нам прислали их возраст и интересы, а также все фотографии и видео, которые они добавили в сервис. Также есть число, говорящее о том, как далеко от нас находится наша потенциальная Джульетта (или Ромео, в зависимости от вашего случая).

Мы подобрались с 26-летним Леле!

Затем мы можем полюбить или не полюбить пользователя и посмотреть, как приложение отправляет запрос на сервер с идентификатором пользователя этого пользователя, чтобы указать наши предпочтения.

Кто знает, если я проведу пальцем влево или вправо? Потому что нет шифрования, все!

После того, как мы сопоставим пользователя, то есть нам понравился другой человек, мы сможем получить доступ к этой информации в любое время, вместо того, чтобы ждать, пока этот человек не будет предложен. И так как наше соединение не зашифровано, так может любой другой!

При первой загрузке Tantan приложение запрашивает разрешение на отслеживание вашего местоположения. Это потому, что он соответствует вам с людьми, которые находятся рядом. Но что это на самом деле означает? Что это делает с вашим местоположением?

Это должно гласить следующее: «Чтобы транслировать ваше местоположение в мире, Tantan требуется доступ к местоположению вашего телефона».

Так как мы знаем, что все, что посылает Тантан, открыто, видимы всем, кто хочет посмотреть, мы знаем, что это не относится к нему конфиденциально, как можно ожидать от близкого друга с глубоким знанием вашей жизни на свиданиях. Но все же ... это, вероятно, просто время от времени запрашивает ваше местоположение?

Тантан утечки вашего местоположения с каждым ударом!

Неправильно. В действительности, приложение отправляет ваше местоположение на сервер Tantan каждый раз, когда он обращается к серверу ... что может быть несколько раз в минуту .

Когда приложение или веб-браузер подключается к серверу для запроса какой-либо информации, оно отправляет метаданные вместе с запросом, называемым «заголовками». Заголовки названы как таковые, потому что они находятся в самом верху или в начале запроса.

В Tantan ваше местоположение отправляется через заголовок в каждом запросе, называемом геолокацией. Как видите, наша широта и долгота отправляются вместе с номером, указывающим, насколько точно определено местоположение вашего телефона. Например, кто-то, кто использует Tantan на iPhone в Шэньчжэне, может отправить заголовок геолокации geo: 22.8,114.0; u = 165, а кто-то в Шанхае отправит geo: 31.2,121.5; u = 160.

Подключив эти цифры в картографическое приложение, такое как Google Maps, кто-то, глядя на ваше соединение с Tantan, может сказать не только, где вы находитесь, но и сделать разумное предположение о том, куда вы направляетесь.

Добро пожаловать в Шанхай!

Веселье на этом не заканчивается. Поскольку соединение не зашифровано, мы или кто-либо в Интернете между нашим телефоном и Tantan можем изменить наше местоположение. Это полезно как способ встретить людей в других местах. Фактически, Tinder продает эту способность как премиальную функцию на своем сервисе.

Преследование Ромео и Джульетты

Хотя подделка вашего местоположения для встречи с людьми в другом месте - это весело, это также полезно для менее благородных занятий. Вы можете использовать его, чтобы найти местоположение и отследить любого, кто соответствует вам.

Помните, как я показывал вам ранее, как совпадения также включают число, которое указывает нам, что совпадение от нашего текущего местоположения? Вы можете использовать эту информацию, подмену местоположения и некоторые базовая математика средней школы точно определить местонахождение вашего Ромео или Джульетты.

Вам просто нужно принять к сведению, как далеко от вас Джульетта в трех разных местах, и рассчитать ее местоположение. Это делает Тантан невероятно удобным, если вы хотите появляться за пределами ее балкона посреди ночи ... жуткое может быть лучшим словом.

Ответственное раскрытие

Первоначально я заметил отсутствие шифрования в Tantan 8 месяцев назад в марте 2015 года. Я связался с компанией по электронной почте и через Weibo, чтобы связаться с кем-то, с кем я мог бы сообщить об этих проблемах безопасности и конфиденциальности. Я решил опубликовать этот пост только после того, как компании не сообщили, что они либо признали проблему, либо планируют ее исправить.

Некоторые из моих попыток достичь Тантана.

После 8 месяцев и многочисленных обновлений приложений Tantan по-прежнему не использует базовую безопасность HTTPS для защиты конфиденциальности пользователей или даже их паролей, несмотря на говорит Apple что они должны.

Почему кого-то это должно волновать?

Благодаря взлому Эшли Мэдисон, мы все видели, что происходит, когда службы знакомств подвергаются риску, и информация, предполагаемая как частная утечка, становится открытой: отношения страдают, люди преследуются или шантажируются и некоторые даже чувствуют необходимость покончить с собой ,

Небрежность Тантана в том, что он не использует базовый, отраслевой стандарт, простое в развертывании шифрование HTTPS, означает, что их сервис даже не нужно взламывать для того, чтобы эта же информация была доступна общественности. Уничтожить собственный бизнес из-за своей безответственности - это ваша проблема. Уничтожать жизни ваших ничего не подозревающих и доверяющих пользователей аморально и неэтично . Это проблема каждого.

Хотите рассказать больше о том, как правильно использовать шифрование? Чирикать на меня или же связаться !