Seu Duolingo Está Falando com a ByteDance: Decifrando a Criptografia do SDK Pangle

O SDK de anúncios Pangle da ByteDance está incorporado em mais de 40 aplicativos populares, incluindo Duolingo, BeReal e Character.AI, enviando extensas impressões digitais (fingerprints) de dispositivos para os servidores da ByteDance via HTTPS. O SDK utiliza um esquema "cypher:3" onde cada payload contém sua própria chave AES e IV, além de uma chave AES hardcoded e reutilizada entre as versões. Isso torna a "criptografia" adicional uma simples ofuscação, e não uma proteção real.

O tráfego descriptografado revela dados granulares de hardware, estado, rede e identificadores, bem como campos de consentimento regulatório. Em contraste, um esquema mais robusto baseado em ECIES, o "cypher:4", é reservado para métricas de anúncios, sublinhando que os dados de fingerprint do usuário são protegidos de forma fraca, apesar de seu alto valor para rastreamento.