Китайский клон Tinder использует цензуру для обучения мужчин хорошим манерам Статьи редакции

В середине ноября гендиректор сервиса тестирования приложений Pay4Bugs Ларри Салибра (Larry Salibra) опубликовал подробный анализ популярного китайского аналога Tinder под названием Tantan. Спустя несколько дней, после внимания пользователей Reddit к проблемам безопасности приложения, сооснователь Tantan Ю Вон (Yu Wang) прояснил Салибре некоторые особенности работы приложения.

Салибра заинтересовался сервисом Tantan в начале 2015 года. Он обратил внимание на то, что хотя основная механика приложения и скопирована с американского Tinder, у китайского аналога были несколько уникальных особенностией.

Например, вместо авторизации через аккаунт на Фейсбуке Tantan требует ввести номер телефона. Затем приложение запрашивает доступ к записной книжке, но не для того, чтобы найти друзей, а наоборот — чтобы скрыть пользователя от его знакомых: например, друзей, супруга или партнёра.

По мнению Салибры, в использовании Tantan оказался более приятным и дружелюбным, чем Tinder, однако его озадачили возможные проблемы с безопасностью: «Я не женат и ни скрываюсь ни за чьей спиной, но я определённо не хочу отдавать свою записную книжку неизвестному китайскому стартапу».

Специалист по безопасности решил «вскрыть» программу при помощи пакета Xcode от Apple, с помощью которого и создаются мобильные приложения для iOS. Оказалось, что разработчики Tantan не отключили отображение служебных сообщений при работе сервиса, и те хранились в логах, доступ к которым Салибра получил через Xcode. В них глава Pay4Bugs обнаружил базу из шестидесяти четырёх иероглифов, подписанных как «Список бранных слов».

Проверив нескольких из слов в списке (внутри программы они хранились в виде символов Unicode), Салибра выяснил, что в основном они имеют отношение к спонтанному сексу и съёму девушек на одну ночь. «Здесь — только платонические отношения или поиск супруга», — так интерпретировал ограничения автор исследования.

Работу списка запрещённых слов проверил автор издания Quartz. При вводе «yuepao» (сленговый аналог «перепихнуться», дословно — «встретиться для секса») приложение выдало предупреждение, однако возможность отправить сообщение оставалась.

В полном списке, опубликованном Quartz, также значились такие слова и выражения: «хороша в постели», «снять комнату», «голое тело», «ню фото», «переспать с тобой», «ищу проститутку».

Дальнейшее изучение работы приложения выявило многочисленные нарушения безопасности пользователей. Номер телефона, пароль, пол, интересы, хобби, предпочтения по возрасту партнёра и сексуальная ориентация — все введённые данные передавались на сервера Tantan в незашифрованном виде.

Проверив трафик локальной сети при помощи утилиты Wireshark, Салибра убедился, что злоумышленники могли бы не только узнать о нём всю интимную информацию, но при желании даже следить за его перемещениями, так как Tantan позволяет искать партнёров на основе геолокации. Более того, приложение передавало данные о местоположении при каждом соединении с удалённым сервером, что могло происходить до нескольких раз за минуту.

Благодаря взлому Ashley Madison, мы все увидели, что происходит, когда дейтинговые сервисы оказываются скомпрометированы, а информация, считавшаяся частной, оказывается в открытом доступе: от этого страдают отношения, людей выслеживают или шантажируют, а некоторые даже испытывают желание покончить жизнь самоубийством.

Небрежность Tantan в неиспользовании базового, общепринятого, простого в интеграции стандарта шифрования HTTPS означает, что сервис даже не нужно взламывать, чтобы его данные стали общедоступными. Уничтожение бизнеса из-за собственной безответственности — это ваша проблема. Уничтожение жизней ваших ничего не подозревающих и доверяющих вам пользователей одновременно аморально и неэтично. Это общая проблема.

Ларри Салибра, гендиректор Pay4Bugs

По словам главы Pay4Bugs, он попытался связаться с администрацией Tantan по почте и через сервис микроблогов Weibo ещё в марте 2015 года. Полученные результаты исследования он опубликовал лишь спустя восемь месяцев, когда убедился, что его запросы проигнорировали.

После публикации исследования Салибра получил вежливое письмо от гендиректора и сооснователя Tantan Ю Вона, в котором тот пообещал выпустить обновление приложения с поддержкой HTTPS. По мнению Вона, большой проблемы в описанной «утечке» данных не было, так как большинство из них можно было легально получить через API, а для остальных потребовалось бы физически находиться в одной сети с «жертвой».

Глава Tantan также прояснил, для чего в приложении существовал подробный список запрещённых слов.

У нас есть список деликатных слов в приложении, который мы применяем, чтобы напомнить пользователям вести себя цивилизованно. К сожалению, некоторые парни не знают, как вести себя с девушками, и нуждаются в добром напутствии.

Ю Вон, гендиректор и сооснователь Tantan