Tantan: clone do Tinder revela seus dados pessoais

tantan Tantan, seu clone chinĂȘs Tinder nĂŁo usa HTTPS para criptografar o trĂĄfego e expĂ”e quase todas as informaçÔes pessoais (!) de seus usuĂĄrios, conforme relatado por Larry Salibra, fundador e CEO da Pay4Bugs, uma plataforma de testes de software de pagamento por bug de origem popular.

Salibra, analisou o aplicativo centrado em sua semelhança com o popular Tinder, mas tambĂ©m dos aplicativos de interface do usuĂĄrio e UX, que sĂŁo muito mais altos em comparação com a interface do Tinder. Procurando ver se o back-end do aplicativo era tĂŁo limpo e bem elaborado quanto o “invĂłlucro”, ele conectou o iPhone ao computador e, usando o Xcode, deu uma olhada no que estava acontecendo “sob o capĂŽ”.

Surpreendentemente, a primeira coisa que ele notou foi uma infinidade de mensagens de depuração espalhadas pelo console do Xcode. Essas mensagens geralmente são ocultas de outros aplicativos para evitar vazamentos não intencionais de dados com as informaçÔes pessoais dos usuårios.

Conectando-se ao roteador de sua casa e executando um comando båsico de despejo de TCP, a próxima coisa que notou foi uma completa falta de criptografia nas comunicaçÔes do servidor de aplicativos.

Mais tarde, ele descobriu que sua senha havia sido enviada para texto nĂŁo criptografado, juntamente com outras informaçÔes atravĂ©s de um canal desprotegido. ApĂłs essa interação com o aplicativo, sua “pesquisa” revelou que Tantan revela quase tudo aos seus usuĂĄrios, enviando dados por canais HTTP desprotegidos que podem ser facilmente roubados, gravados e roubados.

As informaçÔes reveladas incluem nome de usuĂĄrio real, senha, preferĂȘncias de namoro, orientação sexual, interesses, hobbies, mensagens de bate-papo e localização.

Sua privacidade defeituosa Tantan Mas ele nĂŁo para por aĂ­, nĂŁo apenas coloca o usuĂĄrio em risco, mas jogadores mal-intencionados poderĂŁo detectar facilmente o local e o resto apenas combinando-os.

Para cada partida, Tantan tambĂ©m revela a distĂąncia para a pessoa correspondida, um usuĂĄrio sĂł precisa distanciar um de seus objetivos a partir de trĂȘs pontos diferentes. O atacante pode usar essas trĂȘs coordenadas geogrĂĄficas diferentes e encontrar o local exato em que sua “partida” estĂĄ comigo e atĂ© “cair” bem perto. E aqui estĂĄ uma maneira extremamente simples de espionar o objeto de seu desejo …

O Sr. Salibra fez todas essas descobertas em março de 2015. Ele entrou em contato com o criador do aplicativo, mas depois de inĂșmeros e-mails sem resposta, ele decidiu levantar a questĂŁo publicamente. ApĂłs a publicação da pesquisa, seu CEO e co-fundador Tantan, Yu Wang, entrou em contato com ele e prometeu corrigir alguns dos problemas de segurança do aplicativo nas prĂłximas ediçÔes.