Popular anonymous SNS app leaking user id, geo location, etc

The following blog post describes a popular anonymous SNS app in China, pyyx, which leaks its user details such as user id and geolocation in its APIs. Given the leak, a simple web-app can expose the identity of the user who commented or chatted anonymously. The post is composed in Chinese to benefit its major audience.

匿名社交的马后炮

作为一个无聊的中年人,我其实也挺关心年轻人的社交活动的。这不刚到了2016年,最早的那茬90后网红们也终于进入了“好像圣诞树,再美也过不了25”的阶段。我终于觉得跟他们没什么代沟了,可以去沟通一下。
于是我找到大叔,问他:如今国内的年轻人还用陌陌么?
大叔在电话那边沉默了好久,但是他的手机陀螺仪显示在不停的抖,我觉得要么他早发帕金森,要么他在那边开了静音然后拼命笑我老土。我选择相信前者,毕竟我的直觉一般都是准的。第三选项,他在不停的摇手机找附近的美女,是不可能的。隔壁安言的老张偷偷跟我说过,大叔的美女列表,前年就溢出了。
大叔终于说:你老土了吧,现在国内都是玩匿名社交,叫pyyx,你去看看。
搜狗拼音告诉我,pyyx是“炮约一下”(搜狗画外音:这个锅太污我不背)。有趣有趣,我赶紧去下了一个pyyx,打开一看原来叫朋友印象,也行啊。这个app需要的许可权限能有三站路那么长,从地理位置到把我的联系人翻个底儿掉,就差直接帮我抢红包了。我终于猴急猴急的注册了用户,登录以后,加了大叔当好友。
朋友印象挺好玩的,居然能跟微信暗通情愫,找微信朋友聊天。不过最棒的,是能匿名给朋友说话。对方知道你是她朋友,但是就是不知道你是谁。这感觉太棒啦,我赶紧跑去臭骂了几个平时不敢骂的人,比如大叔这样笑我土的。爽!
骂完回来还没喝口茶的功夫,大叔打电话过来,张嘴就骂:你活腻了骂我?你以为你匿名了我就看不出你是谁?你忘了我是黑客了?
其实对付黑客倒是最容易的,你直接拍他马屁就好了。我叫了几声大神,他就老老实实告诉我是怎么知道的了,还给了我一个工具让我查谁匿名骂了我。
工具点这儿paoXiangqi
跟他确认了好几遍这个工具不会偷我密码以后,我把手机号国家号还有密码都输进去了,登录以后我的浏览器就变成了一个查匿名的神器,虽然不太好用不过也够用了。
登录以后点了页面下面这个按钮Screenshot from 2016-02-15 12:07:44,就出来一坨数据,据说这个就是我的匿名聊天记录。看不懂不要紧,直接把数据全选然后复制粘贴到下面一个框。这一步工具不能帮你,因为浏览器不!允!许!但是你自己拷贝粘贴就没问题。
等你复制粘贴好以后,按这个按钮Screenshot from 2016-02-15 12:10:54,工具就会帮你找出你的匿名聊天记录了。
比如这个:
Screenshot from 2016-02-15 12:12:29
“哦…这样啊”就是你和匿名访客的聊天最后一句,这个是链接可以点的哦。
剩下的事情工具帮不了你了,你自己点开链接看吧,就像工具说的,点开以后亮点自寻,是不是有熟悉的名纸呢?哥只能帮到你这儿了。
当然这个朋友印象拿到的还不止这些,比如他家登录的时候,是把你的手机号还有密码用明文发送的。如果你在星巴克登录,旁边正好有那么7,8个黑客的话。。。细思极恐。
另外呢,如果你碰巧发了一个兴趣点,这个app还会把你当前的精确坐标发上去,于是世界上所有人都知道你现在在哪儿啦。是不是Jennifer春节回家变成王小花,一看便知。
最后呢,这个app会把你的所有联系人都明文发到网上这种吓人的事情我会随便说?
所以,如果你想知道谁匿名骂了你,就去查查吧?查查又不会怀孕。
Disclaimer: 本文除了技术部分以外,纯属虚构。数据查询工具不会存储或者向除了pyyx.com以外的第三方发送你的登录信息。
Update:pyyx已经修改了api,补上了这个漏洞。对这种快速反应,我们手动点赞。