Snap Media | Design, Digital, Strategy | Singapore

Avant tout pour ceux qui sortent du coma ou qui ne sortent pas de i  domicile, Tinder reste une application pour faire des rencontres sexuelles sympathiques, disponible sur smartphone ou l’inscription se fait seulement via le compte Facebook (malheureusement peut-etre mais heureusement Afin de Cet article. ).

Avant tout pour ceux qui sortent du coma ou qui ne sortent pas de i  domicile, Tinder reste une application pour faire des rencontres sexuelles sympathiques, disponible sur smartphone ou l’inscription se fait seulement via le compte Facebook (malheureusement peut-etre mais heureusement Afin de Cet article. ).

Le principe est simple, des profils avec photos, prenoms, ages et descriptions vous sont presentes et vous devez switcher vers la droite pour “liker” ou vers la gauche pour “noper” chaque profil. Si vous “likez” un profil et que l’individu vous “like” egalement ceci donne 1 “match” et vous pourrez commencer a sexter discuter. Desole avec avance, ce post et votre outil ne vous permettrons nullement d’augmenter significativement votre tableau de chasse ou a vous depuceler! A l’inverse vous pourriez vous rendre compte que ce derniere/actuelle/future conquete n’est nullement si de confiance que ca et qu’elle a surement acquis ici plus d’experience de “likes” que toi tu n’en acquerras dans toute ta life ;]

Passons a toutes les trucs techniques.

Avant tout bien cela est presente ici, je cite : “It’s not a bug it’s a feature” d’apres Tinder.

Comme nombre d’applications, Tinder dialogue constamment avec une API hebergee a l’adresse. Cette API n’est pas publique et non documentee. En utilisant votre outil comme Mitmproxy concernant proxifier la connexion entre l’application et les serveurs il est possible d’observer l’integralite des echanges. Pour ceci il convient au en amont pousser un certificat genere par Mitmproxy concernant le smartphone concernant pouvoir dechiffrer la connexion entre le smartphone et le serveur.

Le certificate pinning fut implemente dans l’application cela J’ai protege contre les attaques du type (Man in the Middle)[. Le ou les certificats SSL des serveurs Tinder seront stockes en dur dans l’application et verifie que les echanges ne semblent nullement interceptes, dechiffres et re-chifres par un tiers lors des communications application serveur .

Pour i?tre capable de bien de meme observer les echanges il faudra installer une application via le telephone. Android-SSL-TrustKiller reste une application qui permet de contourner le SSL certificate pinning. Le traffic ne pouvant plus etre reellement truste apres l’installation Cela reste preferable d’utiliser un telephone de test.

Pour poser Android-SSL-TrustKiller vous pourrez :

  • Telecharger l’APK ici : pre-compiled APK
  • Installer l’application Cydia Substrate sur le smartphone
  • Installer des tools Android pour adb : # apt-get install android-tools-adb
  • Brancher le smartphone Android
  • Activer le mode developpeur sur le smartphone
  • Activer le “Debogage USB” dans les “Options Afin de des developpeurs”
  • Verifier que le portable reste beaucoup reconnu
  • Lancer l’installation

Une fois la configuration en place on peut commencer a analyser les echanges. Lorsque l’on lance l’application on observe une toute premiere requete vers l’url .

Le detail de la requete :

Concernant le token facebook c’est un brin plus complique, les moyens de le recuperer sans passer par le dechiffrement des echanges par un proxy paraissent limites. Il semble possible de le trouver une facon suivante avec le plugin firefox Firebug. Il faudra lancer firebug et se rendre sur cette page facebook. Vous devrez normalement vous connecter ou si vous l’etes deja vous recueillerez cette popup : Cliquer sur “OK” et vous devez maintenant voir apparaitre une reponse a la requete POST confirm?.dpr1 dans l’onglet reseau de Firebug:

Le token facebook correspond l’integralite de la chaine de caracteres une variable access_token Une fois que l’on possede son id et le token on peut commencer a dialoguer avec l’API de Tinder.

Il va falloir aussi savoir, et cela va avoir toute son importance ici, que Tinder a integre pendant l’ete 2016 une nouvelle fonctionnalite “Tinder Social” dans le application. Elle permet de “aller avec des proches” ainsi que rencontrer d’autres groupes d’amis pour une orgie aller boire une biere ou 2 ou plus. Cet option que chaque utilisateur reste amene a accepter et accepte tel d’habitude les yeux fermes permet a l’application d’acceder via facebook a J’ai liste de ses amis qui utilisent aussi Tinder ! Notre reciproque reste donc pure, les amis verront que, vous aussi, vous etes en. recherche de l’ame soeur.

Pour dialoguer avec l’APi de Tinder quoi encore sympas que d’utiliser Python. J’me suis servi de Mitmproxy afin d’analyser les plusieurs requetes qu’effectuait l’application. J’ai pu ainsi identifier nos URI correspondants aux diverses fonctionnalites de l’application pour des reproduire. L’API est dans l’integralite assez simple et renvoi des donnees en JSON facilement parsables.

Lorsqu’on affiche votre profil utilisateur via l’application (claque qu’il s’agisse le profil tout d’un ladyboy Thailandais n’est que pur hasard) :

J’ai requete qui recupere l’integralite de l’ensemble de ses amis Facebook present sur tinder :

La requete envoyee quand on “like” un profil :

demo

Leave a Reply