Au cadre d’une recherche de ISE Labs i propos des applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons comment un attaquant peut contourner le paiement Afin de avoir acci?s a quelques des fonctionnalites premium de Bumble Boost. Si ceci ne semble nullement assez interessant, decouvrez De quelle fai§on un attaquant peut vider toute la base d’utilisateurs de Bumble avec des informations utilisateur d’origine et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – des images fantomes seront definitivement une chose.
Mises a jour – Au 1er novembre 2020, l’ensemble des attaques mentionnees dans votre blog fonctionnaient forcement. Lors du nouveau test des problemes suivants le 11 novembre 2020, Quelques problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a mis a jour le schema de chiffrement precedent. Cela signifie qu’un attaquant ne pourra plus vider la base d’utilisateurs entiere de Bumble avec l’attaque comme decrit ici. J’ai exige d’API ne fournit plus la distance en miles – le suivi de l’emplacement par triangulation n’est donc plus une possibilite avec la reponse de donnees de ce point de terminaison. Un attaquant va forcement se servir de le point de terminaison pour obtenir des informations telles que des likes Facebook, des photos et d’autres informations de profil telles que nos complexes d’interet concernant des rencontres. Cela fonctionne i chaque fois Afin de un utilisateur verrouille non valide, de manii?re qu’un attaquant peut coder un 
nombre illimite de faux comptes pour vider nos informations utilisateur. Cependant, les attaquants ne peuvent le Realiser que pour des identifiants chiffres qu’ils possedent deja (qui seront mis a disposition des gens proches de vous). Il semble probable que Bumble corrigera egalement votre probleme dans les prochains jours. Les attaques contre le contournement du paiement pour nos autres fonctionnalites premium de Bumble fonctionnent forcement.
API REST de retro-ingenierie
Mes developpeurs utilisent les API REST Afin de dicter la maniere dont des differentes parties d’une application communiquent entre elles et vont pouvoir etre configurees Afin de permettre aux applications cote client d’acceder aux precisions des serveurs internes et d’effectuer des actions. Comme, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces aux photos des utilisateurs, se produisent via Plusieurs requi?tes a l’API de Bumble.
Comme nos appels REST seront sans etat, Cela reste important que chaque point de terminaison verifie si l’emetteur en demande est autorise a effectuer une action donnee. De surcroit, meme si les applications cote client n’envoient normalement aucune requetes dangereuses, les attaquants peuvent automatiser et manipuler des appels d’API Afin de effectuer des actions involontaires et recuperer des precisions non autorisees. Ca explique certaines des failles potentielles de l’API de Bumble impliquant une exposition excessive a toutes les informations et une absence de limitation de debit.
Du fait que l’API de Bumble n’est pas documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API pour comprendre De quelle fai§on le systeme traite les informations des utilisateurs et les demandes cote client, d’autant plus que une objectif final reste de declencher des fuites de donnees involontaires.
Normalement, la premiere etape consiste a intercepter nos requetes HTTP envoyees de l’application mobile Bumble. Cependant, comme Bumble a une application Web et partage le aussi schema d’API que l’application mobile, nous allons prendre la voie la moins complique et intercepter l’integralite des requi?tes entrantes et sortantes via Burp Suite .
Explorer Bumble Boost
Les services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement pour des fonctionnalites Boost suivantes:
- Votes illimites
- Retour en arriere
- Ligne droite
- Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre l’ensemble des utilisateurs actifs de Bumble, leurs interets, le type de personnes qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.
L’application mobile de Bumble a une limite via le nombre de balayages a droite (votes) que vous pouvez choisir pendant la journee. Une fois que des utilisateurs ont atteint un limite de balayage quotidienne (environ 100 balayages a droite), ils doivent recevoir 24 heures afin que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Les votes sont traites a l’aide d’la exige suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:
- «Vote»: 1 – L’utilisateur n’a gui?re vote.
- “Vote”: 2 – L’utilisateur a glisse a droite via l’utilisateur avec le person_id
- “Vote”: 3 – L’utilisateur a glisse par la gauche via l’utilisateur avec le person_id
Deixe uma resposta