Hola a todos, en este articulo hablaremos sobre una de las aplicaciones con mayor cantidad de descargas y el nivel de privacidad q este nos ofrece o talvez lo contrario
hablamos de tinder una app que se encarga de buscar personas que tienen la misma app y con la que puedes buscar amigos y " relaciones", al igual que las sugerencias de facebook; sin embargo aqui no necesitas conocer a las personas solo tenerlas en un radio determinado respecto a tu terminal, ver si te gusta o no y usar botones sobre las fotos que estos ponen. un poco más explicado: si yo tengo una cuenta y pongo una foto alguien dentro de mi radio de "encuentro" da a "megusta" y si yo también le doy entonces se califica como un "match" y desde entonces se puede entablar comunicacion por mensajeria y de màs. ahora que entendemos como funciona, debo explicar tambièn que para registrarse en tinder una vez instalado, se realiza a travès de una cuenta de facebook. y es aqui donde un fallo permite ver toda la informacion personal del perfil de facebook de una persona; al respecto ya se comunico a tinder y ellos dijeron que era un fallo menor. Si usted quiere saltar el blog y quiere hacer el reconocimiento y escaneo de victima directamente sobre sus amigos y descargar sus perfiles de tinder, aquí está el repositorio en GitHub.
Usualmente veo gente que esta muy pegada a ciertas aplicaciones como tinder facebook y ahora pokemon go que parece más una forma de vivir.
solo quisiera notar que la seguridad de las apps son como las paginas web solo que peor. tinder guarda informacion de donde usted navega información personal fechas de conexion y hotspot donde los hizo, como muchas apps parece que gestiona información delicada.
Respecto a mi espacio de trabajo para hacer este test se basa en dos monitores de ordenador, dos ordenadores portátiles, y ningun amigo cerca. un sábado por la noche (10pm) decidí que quiero pushear sobre Tinder y ver si puedo encontrar algo interesante. primer paso -->usar el app tinder y ver lo que hace.
Pero no tengo una cuenta de Tinder, y no planeo tenerlo. (Pero està bien si usted usa tinder) la única forma de obtener una cuenta de tinder es iniciando sesión con una cuenta de Faceook, pero no quiero usar el mío. llegue a ver los términos de contrato y absolutamente es una verdadera mamada color rosa sobre el servicio, entonces creè una cuenta de Facebook(fail). Tuve que escoger una foto de perfil para la cuenta entonces escogí una y lo demas que ya ustedes han hecho.
Quise ver lo que la app hacía detras del telón, y empece a utilizar mitmproxy para espiar en mi teléfono.
mitmproxy considerado una hacker tool de elite me permite ver datos que tinder app enviaba hacia y desde mi teléfono y aumenta mi tamaño de fedora en 7000 %. Instalé el certificado HTTPS proporcionado por mitmproxy que da confiabilidad de 103 % de licencia (jajaja ) a mi teléfono, lo que me da las master keys para desencriptar lo que sea que mi teléfono envíe a los servidores de tinder. asi que edito los ajustes de proxy del WiFi para que diga "hey debe conectarse a internet pero ha de pasar por mi laptop para llegar a comunicarse con su destino jaja". y ahora mi teléfono envía correctamente toda la data buena a mi ordenador portátil en vez de mi router, con lo que puedo usar mi ordenador para espiar las conexiones de Internet que mi teléfono hace.
Aquí podemos ver que mi teléfono esta llamando a un API en api.gotinder.com. Y esto dice tinder " ¡eh!, estoy en línea comenzaremos a golpear con furia entonces espero que su carga-balancers de AWS esté lista para esto ", y la petición del servidor para una lista de caras para swipear. Esto también envía un análisis pasivo como mi ubicación, la marca y modelo de mi teléfono, asi como quién es mi proveedor de red telefónica, y si tengo la tinder plus.
En este punto, y en general aun no entiendo como esta app puede violar los derechos de la gente. A veces usted deja a sus amigos usar su cuenta para charlar con extraños. y esta app parece querer agresivamente que yo estuviera excitado sobre ello pero me siento confundido.
Ya que no sé para que ver màs. Cambio todos los ajustes. Soy ahora un español de 20 años interesado en Hombres y Mujeres de edad 18 a 30 cerca a 100km de distancia, bombardeo con publicidad sobre un manojo de caras con la esperanza que alguien también le dara like a mi cuadro de de alta resolución. Si alguien "hace juego" conmigo seré capaz de charlar con ellos, y otra sección del app se abrirá.
crei q el perfil del español atraeria la mirada de alguien pero esto tomara mucho tiempo
asi que mejor escojo la imagen de una señora con sombrero de sangoogle. Esto trabajará. Corté la foto ligeramente y añadí un filtro sutil para intentar bromear al más básico estilo de investigadores
En cambio vuelvo al usuario de invitado de Androide que he añadido a mi teléfono con la dirección de correo electrónico disponible para Facebook. Puse mi teléfono a usar mi ordenador portátil como un routr, enviando a todo el tráfico al ordenador portátil antes de que este llegue a Internet entonces puedo espiarme. Cambio mi foto a la señora de sombrero y el bombardeo de likes indica que unos estan interesados en conocerme
¡Casi inmediatamente soy informado que " Esto es un match! " en fuente hipster cursiva. (Probablemente Lobster.) Mis opciones son " Envíar un mensaje " " o Seguir dandole su like" (el hecho de Diversión, en una versión más antigua del app, " seguir insistiendo " leído " seguir".) escojo " Envíar un mensaje ". Espío a la red que solicita que la parte de charla del app haga pero no puedo ver el texto de mensaje real por cualquiera razón. ¿No está siendo enviado sobre HTTP? ¿Algún otro protocolo? ¿Hace esto algún XMPP o el ritual websockets? ¿Convierte cada mensaje a base64, almacenando esta base64 en letras cursivas y a veces el Nuevo en un PDF, insertando este PDF en una célula en una hoja de cálculos de Microsoft Excel y ROT13-ING .
Siempre quise probar un programa como el tinder en modo social todos lo hemos sentido en un tiempo u otro. En algunos paises encontrara que su cuenta de tinder tiene una opción para comprobar " el tinder Social ".
el tinder Social es la experiencia completa "likeando contactos para reunirse", también puede cambiar mensajes con un grupo de contactos a travez de sus fotos, justo como la gente afortunada en esta maqueta.
curiosamente y como parodia este tinder llama a sus grupos internamente como "squads"
"squads_discoverable”: false,
“squads_only”: false,
“can_create_squad”: true
sin màs q decir solo voy a disfrutar este momento
Si usted no se ha enterado del Social tinder , es porque al inicio solo estaba disponible en Australia, pero ahora se extendio al resto del mundo. ya se hizo un Update y esperando que sea con las actualizaciones y parches necesarios.
en esta imagen tnemos q a la derecha nos muestra los contactos de facebook que comparten esta aplicacion
{"status”:200,“results”:[{“user_id”:“562…….ec8”,“name”:“[redacted]”,“photo”:[{“processedFiles”:…{“url”:“https://graph.facebook.com/[redacted]/picture?height=640&width=640”,“height”:640,“width”:640}]}],“in_squad”:false}
en esta parte puedo ver que me muestra las fotos y los nombres, desde una cuenta falsa lo que me da informacion y me sirve para probar mi idea
desde el id de tinder puedo ver info de este amigo de Facebook. (He recortado un poco para que no puedan acechar esta cuenta.) pero dejo a vuestro criterio la solidez de usas esta app y la seguridad de sus moviles.
If you send:
GET https://api.gotinder.com/user/562…….ec8
Then Tinder sends back:
si no entiendes la codificacion no es importante q lo leas{’_id’: ’562…….ec8’,
‘badges’: [],
'bio’: “hola a todos, soy nueva!!!!!!! *holds up spork* my nombre es katy pero tu puedes llamarme el pinguino de madagascar!!!!!!!! lol…!!!!” como puedes ver soy muy alocada,
'birth_date’: '1995-07-19T02:52:04.083Z’,
'birth_date_info’: 'fuzzy birthdate active, not displaying real birth_date’,
'common_friend_count’: 0,
'common_friends’: [<common Facebook friends go here>],
'common_like_count’: 0,
'common_likes’: [<common Facebook likes go here>],
'connection_count’: [the number of people you’ve swiped (I think?) go here],
'distance_mi’: 1, // How far the person is from you right now
'gender’: 1, // 1 is female, 0 is male. C’mon Tinder that’s not how gender works
'jobs’: [],
'name’: 'Victoria’, // Note that there’s no last name'ping_time’: '2016-07-16T02:51:45.475Z’, // The last time the person was on Tinder…..'schools’: []}
Si tenemos el id tinder de alguien, podemos ver: las fotos de tinder; la bios; la ultima vez que ellos usaron tinder; A cuánta gente ellos han tocado el "megustas" ; algunas otras cosas, pero usted ya los sabía desde Facebook ¡Eh!, sin embargo aqui nos permite ver las conversaciones que tuvieron. con los matchs
segun tinder esta opcion esta desabilitada
imagino que ellos sólo lo inhabilitaron en las pantallas de la app, sin cambiar lo que el servidor envía a su teléfono. sino podria obtener la informacion en imagen de cualquier contacto que use tinder, y probablemente averiguar cosas interesantes. ¿Quién sabe aquella información con què tiene correlación para que la maneje tinder?.
GET https://api.gotinder.com/{like|pass}/{id}
No estoy seguro sobre esto, pero parece que la gente que le ha dado megusta a usted aparecen primeros en la lista de gente que tinder sugiere. de ser asì un algoritmo sencillo podrìa automatizar el megusta a todas las personas qe aparecen en un rango de zona, asi el ataque seria indiscriminado.
esperando q tengan un buen dia me despido y que tengan un buen fin de semana
Truly, this article is really one of the very best in the history of articles. I am a antique ’Article’ collector and I sometimes read some new articles if I find them interesting. And I found this one pretty fascinating and it should go into my collection. Very good work! tinder facebook login error
ResponderEliminar