Το Tantan, o κινέζικος κλώνος του Tinder δεν χρησιμοποιεί HTTPS για την κρυπτογράφηση του traffic και εκθέτεθ σχεδόν όλες(!) τις προσωπικές πληροφορίες των χρηστών του, όπως αναφέρθηκε από τον Larry Salibra, ιδρυτή και CEO της Pay4Bugs, μιας δοκιμαστικής πλατφόρμας crowd-sourced pay-per-bug software.
Ο Salibra, ανέλυσε την εφαρμογή κεντρισμένος από την ομοιότητά της με το δημοφιλές Tinder, αλλά και απ’ τις εφαρμογές UI και UX, οι οποίες είναι κατά πολύ ανώτερες συγκριτικά με το interface του Tinder. Ψάχνοντας εάν το backend της εφαρμογής ήταν καθαρό και καλοφτιαγμένο όπως και το «περιτύλιγμα», συνέδεσε το iPhone τους με τον υπολογιστή και χρησιμοποιώντας Xcode, έριξε μια ματιά στο τί συμβαίνει «κάτω απ’ την κουκούλα».
Παραδόξως, το πρώτο που πρόσεξε ήταν μια πληθώρα από debug messages που διασκορπίστηκαν προς τηνκονσόλα του Xcode. Αυτά τα μηνύματα συνήθως κρύβονται από τις υπόλοιπες εφαρμογές για να αποφευχθούν ακούσιες διαρροές δεδομένων με προσωπικές πληροφορίες των χρηστών.
Συνδεόμενος με το router του σπιτιού του και τρέχοντας μια βασική TCP dump command, το αμέσως επόμενο πράγμα που παρατήρεσε ήταν μια απόλυτη έλλειψη κρυπτογράφησης για τις επικοινωνίες εφαρμογής-server.
Στην συνέχεια διαπίστωσε ότι το password του εστάλη σε cleartext μαζί με ένα σωρό άλλες πληροφορίες μέσω ενός απροστάτευτου καναλιού. Μετά απ’ αυτή την αλληλεπίδραση με την εφαρμογή, η «έρευνα» του αποκάλυψε ότι το Tantan αποκαλύπτει σχεδόν τα πάντα για τους χρήστες του, στέλνοντας τα δεδομένα μέσω unprotected HTTP channels που μπορεί πολύ εύκολα να υποκλαπούν, να καταγραφούν και να κλαπούν.
Oι πληροφορίες που αποκαλύπτονται συμπεριλαμβάνουν το πραγματικό όνομα του χρήστη το password, τις προτιμήσεις του στο dating, τον σεξουαλικό του προσανατολισμό, ενδιαφέροντα, hobbies, chat messages, καθώς και την τοποθεσία του.
Η ελαττωματική privacy του Tantan δεν σταματά όμως εδώ, δεν βάζει σε ρίσκο μόνο τον χρήστη, αλλά οι κακόβουλοι φορείς θα είναι σε θέση να ανιχνεύσουν εύκολα την τοποθεσία και των υπολοίπων απλώς μέσω αυτών που ταιριάζουν μαζί τους (matching).
Για κάθε match το Tantan αποκαλύπτει επίσης την απόσταση στο matched person, ένας χρήστης θα χρειαζόταν μόνο να λάβει την απόσταση για έναν απ’ τους στόχους του από τρία διαφορετικά σημεία. Ο επιτιθέμενος μπορεί να χρησιμοποιήσει τις 3 αυτές διαφορετικές γεωγραφικές συντεταγμένες, και να βρει την ακριβή τοποθεσία στην οποία βρίσκεται το «ταίρι» του με και να «πέσει» μάλιστα αρκετά κοντά. Και ιδού ενας εξαιρετικά απλός τρόπος να κατασκοπεύσεις το αντικείμενο του πόθου σου…
Ο κ. Salibra έκανε όλες αυτές τις ανακαλύψεις τον Μάρτιο του 2015. Ήρθε έπειτα σε επαφή με τον κατασκευαστή του app, αλλά μετά από αμέτρητα αναπάντητα e-mails, αποφάσισε να θέσει το ζήτημα δημόσια. Μετά την δημοσίευση της έρευνα, ο CEO και συνιδρυτής του Tantan, Yu Wang, επικοινώνησε μαζί του και υποσχέθηκε ότι θα διορθώσει κάποια απ’ τα ζητήματα ασφαλείας της εφαρμογής στις επόμενες εκδόσεις.
