国外社交软件Tinder被爆漏洞可定位任意用户位置

路人甲 2014-02-21 14:29:00

Tinder是国外的一款手机交友APP,这款应用在推出的两个月内,推荐匹配了超过 100 万对的爱慕者(双方第一眼互有好感),并获取了 3500 万个用户的账号打分。而它最初的着力点,正是在校园。它的功能实际很简单:基于你的地理位置,应用每天为你“推荐”一定距离内的四个对象,根据你们在 Facebook 上面的共同好友数量、共同兴趣和关系网给出评分,得分最高的推荐对象优先展示。

在2013年七月的时候,Tinder就被爆有API接口暴露iOS客户端的经纬度,可以定位任意用户位置。

下面介绍的这个API是新发现的,而不是之前被暴露的。

通过代理抓取iPhone的请求,抓取Tinder的通信情况,抓到一个API通过用户的ID返回信息如下:

{
   "status":200,
   "results":{
      "bio":"",
      "name":"Anthony",
      "birth_date":"1981-03-16T00:00:00.000Z",
      "gender":0,
      "ping_time":"2013-10-18T18:31:05.695Z",
      "photos":[
      //cut to save space
      ],
      "id":"52617e698525596018001418",
      "common_friends":[

      ],
      "common_likes":[

      ],
      "common_like_count":0,
      "common_friend_count":0,
      "distance_mi":4.760408451724539
   }
}

不再返回准确的GPS信息,但是distance_mi字段为距离信息,是一个64位双精度字段,精确度非常的高了。

利用此信息,我们就可以获取改ID对应用户的比较准确的GPS信息。看看下图你就明白了:

利用三个位置的距离信息就可以定位到该用户的准确位置,其原理与GPS定位是一样的。

通过伪造GPS信息,通过API​​来告诉Tinder,我在任意的位置,并查询API查找到用户的距离。

创建Tinder的3个测试账号。然后告诉了Tinder的API,我所在的三个位置,以及到该用户的距离。

然后,根据公式就可以算出该用户的GPS信息了。

这种问题似乎微信与陌陌之前也有,不知道现在还有没有呢?:)

评论

Z

zzR 2014-02-21 15:03:47

要弄清这么个地理位置,除了地理好,数学棒,还得会计算

L

lucky 2014-02-21 15:56:57

不错,用来找朋友!

小贱人 2014-03-14 16:23:06

定位妹子们

路人甲

真正的路人甲.

twitter weibo github wechat

随机分类

浏览器安全 文章:36 篇
Exploit 文章:40 篇
Java安全 文章:34 篇
XSS 文章:34 篇
软件安全 文章:17 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录