Как стать автором
Обновить

Дал взятку? Лови десятку. Анализ приложения Bribr для iPhone

Время на прочтение2 мин
Количество просмотров18K
Bribr — нeзависимый проект по сбору статистики о взятках в России, поступающей от граждан. Пользователи сами указывают размер взятки, нажимая на кнопку «Я дал взятку» и заполняя форму. По данным главной страницы приложения, с 24.09.2012 пользователи дали взяток на 1 429 550 рублей. Данные действия по даче взятки регулируются 291 статьей УК РФ и наказываются серьезно (до 12 лет лишения свободы). Сервис гарантирует анонимность подачи информации. Но так ли это на самом деле?


После прочтения статьи «Дал взятку — зачекинься» на главной странице сайта Большой Город мне стало интересно, насколько действительно анонимна подача информации.

Что нужно сделать, чтобы анонимно признаться в даче взятки?

  • Установить бесплатное приложение из Appstore
  • Нажать кнопку «Я дал взятку» с восклицательным знаком
  • Заполнить в форме «Сколько, кому, за что, на карте». На данном экране присутствует надпись, что «вся информация полностью анонимна»
  • Нажать кнопку «Отправить».


Эти четыре простых действия могут привести вас в тюрьму.

Что нужно для проверки:
Macbook, приложение прокси Charles для Mac, iPad и iPhone, приложение Bribr

1. В Charles
Proxy->Proxy Settings

image

Включаем SSL проксирование и указываем адрес сервиса api.bribr.org

image

Узнаем IP-адрес в терминале и указываем его в настройках прокси в iPad

2. На iPad указываем Proxy
image

Запускаем приложение Bribr.

3. В Charles смотрим лог и что мы видим. При запуске приложения и запросе к статистике по количеству взяток на сайте api.bribr.org передается неизвестный идентификатор и модель устройства.

image

Больше всего интерес представляют следующие параметры запроса:

X-API-Key the-dark-side-of-the-moon
X-Device-ID 4939a528a47f7237dd7b26cd9d1f3c9396f76896
X-Device-Model iPad

Device-ID не соответствует UDID, OpenUDID и ODIN-1 и, вероятно, является закрытым хешем по UDID, судя по 40 числовой последовательности.

На iPhone ситуация такая же, но Device-ID и Device-Model отличаются.

image

Приглашаю вас к дальнейшему исследованию этого анонимного API.

Краткий вывод:
Когда ваше устройство попадет в зону интереса правоохранительных органов, то, отправив тестовую взятку с вашего телефона, можно сравнить с тем, что вы отправляли ранее. Вот такая вот анонимность. Анонимности нет.

UPD:
1) Первый раз статья была удалена администрацией после упоминания компании разработчика, название компании я удалил
2) для исследования X-Device-ID вот UDID моего iPad 3fd35bfd60011429307e4fca1ee52d9c68735617
Теги:
Хабы:
Всего голосов 45: ↑31 и ↓14+17
Комментарии79

Публикации

Истории

Работа

Ближайшие события

Конференция «Я.Железо»
Дата18 мая
Время14:00 – 23:59
Место
МоскваОнлайн
Антиконференция X5 Future Night
Дата30 мая
Время11:00 – 23:00
Место
Онлайн
Конференция «IT IS CONF 2024»
Дата20 июня
Время09:00 – 19:00
Место
Екатеринбург
Summer Merge
Дата28 – 30 июня
Время11:00
Место
Ульяновская область