Bribr — нeзависимый проект по сбору статистики о взятках в России, поступающей от граждан. Пользователи сами указывают размер взятки, нажимая на кнопку «Я дал взятку» и заполняя форму. По данным главной страницы приложения, с 24.09.2012 пользователи дали взяток на 1 429 550 рублей. Данные действия по даче взятки регулируются 291 статьей УК РФ и наказываются серьезно (до 12 лет лишения свободы). Сервис гарантирует анонимность подачи информации. Но так ли это на самом деле?
После прочтения статьи «Дал взятку — зачекинься» на главной странице сайта Большой Город мне стало интересно, насколько действительно анонимна подача информации.
Что нужно сделать, чтобы анонимно признаться в даче взятки?
Эти четыре простых действия могут привести вас в тюрьму.
Что нужно для проверки:
Macbook, приложение прокси Charles для Mac, iPad и iPhone, приложение Bribr
1. В Charles
Proxy->Proxy Settings
![image](https://habrastorage.org/r/w1560/getpro/habr/post_images/b2b/636/00e/b2b63600e581ec12aba2aedfe0b9a6bb.png)
Включаем SSL проксирование и указываем адрес сервиса api.bribr.org
![image](https://habrastorage.org/r/w1560/getpro/habr/post_images/4ba/c8a/4a4/4bac8a4a4bf8a2f32aa200da3cdae23e.png)
Узнаем IP-адрес в терминале и указываем его в настройках прокси в iPad
2. На iPad указываем Proxy
![image](https://habrastorage.org/r/w1560/getpro/habr/post_images/002/ea3/4f3/002ea34f35b04bd35251735fc4b52750.png)
Запускаем приложение Bribr.
3. В Charles смотрим лог и что мы видим. При запуске приложения и запросе к статистике по количеству взяток на сайте api.bribr.org передается неизвестный идентификатор и модель устройства.
![image](https://habrastorage.org/r/w1560/getpro/habr/post_images/72a/6a5/07c/72a6a507cb2b6ecae6e0f0df6f8cfbd7.png)
Больше всего интерес представляют следующие параметры запроса:
X-API-Key the-dark-side-of-the-moon
X-Device-ID 4939a528a47f7237dd7b26cd9d1f3c9396f76896
X-Device-Model iPad
Device-ID не соответствует UDID, OpenUDID и ODIN-1 и, вероятно, является закрытым хешем по UDID, судя по 40 числовой последовательности.
На iPhone ситуация такая же, но Device-ID и Device-Model отличаются.
![image](https://habrastorage.org/r/w1560/getpro/habr/post_images/2e4/765/0ce/2e47650ceb63134de60feffae7651d20.png)
Приглашаю вас к дальнейшему исследованию этого анонимного API.
Краткий вывод:
Когда ваше устройство попадет в зону интереса правоохранительных органов, то, отправив тестовую взятку с вашего телефона, можно сравнить с тем, что вы отправляли ранее. Вот такая вот анонимность. Анонимности нет.
UPD:
1) Первый раз статья была удалена администрацией после упоминания компании разработчика, название компании я удалил
2) для исследования X-Device-ID вот UDID моего iPad 3fd35bfd60011429307e4fca1ee52d9c68735617
После прочтения статьи «Дал взятку — зачекинься» на главной странице сайта Большой Город мне стало интересно, насколько действительно анонимна подача информации.
Что нужно сделать, чтобы анонимно признаться в даче взятки?
- Установить бесплатное приложение из Appstore
- Нажать кнопку «Я дал взятку» с восклицательным знаком
- Заполнить в форме «Сколько, кому, за что, на карте». На данном экране присутствует надпись, что «вся информация полностью анонимна»
- Нажать кнопку «Отправить».
Эти четыре простых действия могут привести вас в тюрьму.
Что нужно для проверки:
Macbook, приложение прокси Charles для Mac, iPad и iPhone, приложение Bribr
1. В Charles
Proxy->Proxy Settings
![image](https://habrastorage.org/getpro/habr/post_images/b2b/636/00e/b2b63600e581ec12aba2aedfe0b9a6bb.png)
Включаем SSL проксирование и указываем адрес сервиса api.bribr.org
![image](https://habrastorage.org/getpro/habr/post_images/4ba/c8a/4a4/4bac8a4a4bf8a2f32aa200da3cdae23e.png)
Узнаем IP-адрес в терминале и указываем его в настройках прокси в iPad
2. На iPad указываем Proxy
![image](https://habrastorage.org/getpro/habr/post_images/002/ea3/4f3/002ea34f35b04bd35251735fc4b52750.png)
Запускаем приложение Bribr.
3. В Charles смотрим лог и что мы видим. При запуске приложения и запросе к статистике по количеству взяток на сайте api.bribr.org передается неизвестный идентификатор и модель устройства.
![image](https://habrastorage.org/getpro/habr/post_images/72a/6a5/07c/72a6a507cb2b6ecae6e0f0df6f8cfbd7.png)
Больше всего интерес представляют следующие параметры запроса:
X-API-Key the-dark-side-of-the-moon
X-Device-ID 4939a528a47f7237dd7b26cd9d1f3c9396f76896
X-Device-Model iPad
Device-ID не соответствует UDID, OpenUDID и ODIN-1 и, вероятно, является закрытым хешем по UDID, судя по 40 числовой последовательности.
На iPhone ситуация такая же, но Device-ID и Device-Model отличаются.
![image](https://habrastorage.org/getpro/habr/post_images/2e4/765/0ce/2e47650ceb63134de60feffae7651d20.png)
Приглашаю вас к дальнейшему исследованию этого анонимного API.
Краткий вывод:
Когда ваше устройство попадет в зону интереса правоохранительных органов, то, отправив тестовую взятку с вашего телефона, можно сравнить с тем, что вы отправляли ранее. Вот такая вот анонимность. Анонимности нет.
UPD:
1) Первый раз статья была удалена администрацией после упоминания компании разработчика, название компании я удалил
2) для исследования X-Device-ID вот UDID моего iPad 3fd35bfd60011429307e4fca1ee52d9c68735617