科技猎中国的约会克隆App不安全也无隐私
Pay4Bugs的创始人Larry Salibra分析了约会软件Tinder的中国克隆探探,发现它内置了关键词,所有通信都是明文传输。
使用Xcode浏览手机的控制台日志,他发现探探的开发者没有关闭调试信息,发送到控制台的信息透露探探有一个关键词名单,被禁止使用的关键词包括了“约炮”和“裸聊”等。利用tcpdump和 Wireshark程序观察手机到探探服务器的流量,他发现所有发送到服务器的信息都是未加密的,包括用户输入的密码、手机号码和性取向,以及匹配的用户信息。每一个探探应用都内置了一个固定密码,目的是为了防止第三方程序连上探探的服务器。探探鼓励用户出卖朋友,也就是将你的联系人信息分享给它,而你则可以隐藏起来。探探每分钟会多次将你的位置信息发送到它的服务器。
使用Xcode浏览手机的控制台日志,他发现探探的开发者没有关闭调试信息,发送到控制台的信息透露探探有一个关键词名单,被禁止使用的关键词包括了“约炮”和“裸聊”等。利用tcpdump和 Wireshark程序观察手机到探探服务器的流量,他发现所有发送到服务器的信息都是未加密的,包括用户输入的密码、手机号码和性取向,以及匹配的用户信息。每一个探探应用都内置了一个固定密码,目的是为了防止第三方程序连上探探的服务器。探探鼓励用户出卖朋友,也就是将你的联系人信息分享给它,而你则可以隐藏起来。探探每分钟会多次将你的位置信息发送到它的服务器。
