Cart 0 x

Tout d’abord Afin de ceux qui sortent du coma ou qui ne sortent aucune i  domicile, Tinder est une application afin d’effectuer des rencontres sexuelles sympathiques, disponible via smartphone ou l’inscription se fait uniquement via le compte Facebook (malheureusement peut-etre mais heureusement Afin de Cet article. ).

Tout d’abord Afin de ceux qui sortent du coma ou qui ne sortent aucune i  domicile, Tinder est une application afin d’effectuer des rencontres sexuelles sympathiques, disponible via smartphone ou l’inscription se fait uniquement via le compte Facebook (malheureusement peut-etre mais heureusement Afin de Cet article. ).

Le concept est simple, des profils avec photos, prenoms, ages et descriptions vous sont presentes et vous devez switcher vers la droite pour “liker” ou par la gauche concernant “noper” chaque profil. Si vous “likez” un profil et que l’individu vous “like” egalement ceci donne votre “match” et vous pouvez commencer a sexter discuter. Desole par avance, Cet article et cet outil ne vous permettrons jamais d’augmenter significativement ce tableau de chasse ou a vous depuceler! A l’inverse vous pourriez vous rendre compte que votre derniere/actuelle/future conquete n’est nullement si de confiance que ca et qu’elle a surement acquis ici plus d’experience de “likes” que toi tu n’en acquerras dans toute ta life ;]

Passons aux trucs techniques.

Tout d’abord tout ce qui est presente ici, je cite : “It’s not a bug it’s a feature” d’apres Tinder.

Comme beaucoup d’applications, Tinder dialogue chaque jour avec une API hebergee a l’adresse. Cette API n’est pas publique et non documentee. Avec un outil comme Mitmproxy concernant proxifier la connexion entre l’application et les serveurs Il semble possible d’observer la majorite des echanges. Pour cela il faudra au en amont pousser un certificat genere via Mitmproxy sur le smartphone concernant pouvoir dechiffrer la connexion entre le smartphone et le serveur.

Le certificate pinning fut implemente au sein d’ l’application cela Notre protege contre les attaques du type (Man in the Middle)[. Le ou les certificats SSL des serveurs Tinder paraissent stockes en dur dans l’application et verifie que les echanges ne semblent nullement interceptes, dechiffres et re-chifres via un tiers au cours des communications application serveur .

Pour pouvoir bien ainsi observer les echanges il va falloir poser une application dans le telephone. Android-SSL-TrustKiller reste une application qui permet de contourner le SSL certificate pinning. Le traffic ne pouvant plus etre reellement truste apres l’installation c’est preferable d’utiliser un telephone de test.

Pour installer Android-SSL-TrustKiller il suffit de :

  • Telecharger l’APK ici : pre-compiled APK
  • Installer l’application Cydia Substrate concernant son smartphone
  • Installer nos tools Android pour adb : # apt-get install android-tools-adb
  • Brancher son smartphone Android
  • Activer le mode developpeur dans son smartphone
  • Activer le “Debogage USB” dans les “Options Afin de nos developpeurs”
  • Verifier que le portable est beaucoup reconnu
  • Lancer l’installation

Une fois la configuration en place on peut commencer a analyser des echanges. Si l’on lance l’application on observe une premiere requete par l’url .

Le detail d’une requete :

Concernant le token facebook c’est un peu plus complique, la possibilite de le recuperer sans passer par le dechiffrement des echanges par un proxy sont limites. Il va i?tre possible de le trouver une facon suivante avec le plugin firefox Firebug. Vous devez lancer firebug et se rendre sur cette page facebook. Vous devez normalement vous connecter ou si vous l’etes deja vous obtiendrez cette popup : Cliquer https://www.besthookupwebsites.org/fr/single-muslim-review sur “OK” et vous devez maintenant voir apparaitre une reponse a la requete POST confirm?.dpr1 dans l’onglet reseau de Firebug:

Le token facebook correspond l’integralite en chaine de caracteres de la variable access_token Une fois que l’on possede le id et son token on va pouvoir commencer a dialoguer avec l’API de Tinder.

Il va falloir aussi savoir, ainsi, cela va avoir toute le importance ici, que Tinder a integre pendant l’ete 2016 une nouvelle fonctionnalite “Tinder Social” dans le application. Elle permet de “sortir avec des proches” ainsi que rencontrer d’autres groupes d’amis pour une orgie aller boire une biere ou 2 ou plus. Cet option que chaque utilisateur est amene a accepter et accepte comme d’habitude le regard fermes permet a l’application d’acceder via facebook a la liste de l’ensemble de ses amis qui utilisent aussi Tinder ! J’ai reciproque est donc authentique, vos amis verront que, vous aussi, vous etes en. recherche de l’ame soeur.

Pour dialoguer avec l’APi de Tinder quoi Sans compter que sympas que d’utiliser Python. J’me suis servi de Mitmproxy afin d’analyser les plusieurs requetes qu’effectuait l’application. J’ai pu ainsi identifier des URI correspondants a toutes les plusieurs fonctionnalites de l’application pour nos reproduire. L’API est dans la majorite assez simple et renvoi des precisions en JSON rapidement parsables.

Lorsqu’on affiche 1 profil utilisateur via l’application (Le fait que l’on parle le profil d’un ladyboy Thailandais n’est que pur hasard) :

Notre requete qui recupere l’integralite de l’ensemble de ses amis Facebook present sur tinder :

Notre requete envoyee lorsqu’on “like” un profil :

Share: