Дал взятку? Лови десятку. Анализ приложения Bribr для iPhone

в 21:08, , рубрики: анонимность, взятки, информационная безопасность, УК, метки: , ,

Bribr — нeзависимый проект по сбору статистики о взятках в России, поступающей от граждан. Пользователи сами указывают размер взятки, нажимая на кнопку «Я дал взятку» и заполняя форму. По данным главной страницы приложения, с 24.09.2012 пользователи дали взяток на 1 429 550 рублей. Данные действия по даче взятки регулируются 291 статьей УК РФ и наказываются серьезно (до 12 лет лишения свободы). Сервис гарантирует анонимность подачи информации. Но так ли это на самом деле?

После прочтения статьи «Дал взятку — зачекинься» на главной странице сайта Большой Город мне стало интересно, насколько действительно анонимна подача информации. Разработала приложение российская компания GGDynamics, известная приложениями для Перекрестка, Огорода, Timeout и т.д.

Что нужно сделать, чтобы анонимно признаться в даче взятки?

  • Установить бесплатное приложение из Appstore
  • Нажать кнопку «Я дал взятку» с восклицательным знаком
  • Заполнить в форме «Сколько, кому, за что, на карте». На данном экране присутствует надпись, что «вся информация полностью анонимна»
  • Нажать кнопку «Отправить».

Эти четыре простых действия могут привести вас в тюрьму.

Что нужно для проверки:
Macbook, приложение прокси Charles для Mac, iPad и iPhone, приложение Bribr

1. В Charles
Proxy->Proxy Settings

image

Включаем SSL проксирование и указываем адрес сервиса api.bribr.org

image

Узнаем IP-адрес в терминале и указываем его в настройках прокси в iPad

2. На iPad указываем Proxy
image

Запускаем приложение Bribr.

3. В Charles смотрим лог и что мы видим. При запуске приложения и запросе к статистике по количеству взяток на сайте api.bribr.org передается неизвестный идентификатор и модель устройства.

image

Больше всего интерес представляют следующие параметры запроса:

X-API-Key the-dark-side-of-the-moon
X-Device-ID 4939a528a47f7237dd7b26cd9d1f3c9396f76896
X-Device-Model iPad

Device-ID не соответствует UDID, OpenUDID и ODIN-1 и, вероятно, является закрытым хешем по UDID, судя по 40 числовой последовательности.

На iPhone ситуация такая же, но Device-ID и Device-Model отличаются.

image

Приглашаю вас к дальнейшему исследованию этого анонимного API.

Краткий вывод:
Когда ваше устройство попадет в зону интереса правоохранительных органов, то, отправив тестовую взятку с вашего телефона, можно сравнить с тем, что вы отправляли ранее. Вот такая вот анонимность. Анонимности нет.

Автор: igorbarinov

Поделиться

* - обязательные к заполнению поля