Au cadre d’une recherche de ISE Labs sur les applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons De quelle fai§on un attaquant peut contourner le paiement pour avoir acci?s a la plupart des fonctionnalites premium de Bumble Boost. Si ce qui ne parait gui?re assez interessant, decouvrez comment un attaquant peut vider toute la base d’utilisateurs de Bumble avec des informations utilisateur de base et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – nos images fantomes paraissent definitivement une chose.
Mises a jour – Au 1er novembre 2020, toutes les attaques mentionnees dans votre blog fonctionnaient i chaque fois. Lors du nouveau test des problemes suivants le 11 novembre 2020, certains problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a foutu a jour le schema de chiffrement precedent. Cela signifie qu’un attaquant ne peut plus vider la base d’utilisateurs entiere de Bumble en utilisant l’attaque comme decrit ici. Notre requi?te d’API ne fournit plus la distance en miles – le suivi de l’emplacement par triangulation n’est donc plus une possibilite en utilisant la reponse de donnees de ce point de terminaison. Un attaquant est en mesure de i chaque fois se servir de le point de terminaison Afin de obtenir des precisions telles que les likes Facebook, des photos et d’autres renseignements de profil telles que des centres d’interet pour nos rencontres. Cela fonctionne toujours pour un utilisateur verrouille non valide, de sorte qu’un attaquant peut creer 1 nombre illimite de faux comptes pour vider des informations utilisateur. Cependant, les attaquants ne peuvent le Realiser que pour les identifiants chiffres qu’ils possedent deja (qui sont mis a disposition des gens proches de vous). Il va i?tre probable que Bumble corrigera egalement ce probleme au sein des prochains jours. Les attaques contre le contournement du paiement pour des autres fonctionnalites premium de Bumble fonctionnent i chaque fois.
API REST de retro-ingenierie
Les developpeurs utilisent nos API REST Afin de dicter la maniere dont nos plusieurs parties d’une application communiquent entre elles et vont pouvoir etre configurees pour permettre aux applications cote client d’acceder a toutes les donnees des serveurs internes et d’effectuer des actions. Entre autres, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces aux photos des utilisateurs, se produisent via Plusieurs demandes a l’API de Bumble.
Comme nos appels REST paraissent sans etat, il va i?tre important que chaque point de terminaison verifie si l’emetteur une demande est autorise a effectuer une action donnee. Encore, meme si les applications cote client n’envoient normalement aucune requetes dangereuses, nos attaquants peuvent automatiser et manipuler les appels d’API pour effectuer des actions involontaires et recuperer des donnees non autorisees. Cela explique diverses des failles potentielles de l’API de Bumble impliquant une exposition excessive a toutes les donnees et une absence de limitation de debit.
Etant donne que l’API de Bumble n’est gui?re documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API Afin de comprendre De quelle fai§on le systeme traite les donnees des utilisateurs et les demandes cote client, d’autant plus que notre objectif final est de declencher des fuites de precisions involontaires.
Normalement, la premiere etape consiste a intercepter les requetes HTTP envoyees de l’application mobile Bumble. Cependant, comme Bumble a une application Web et partage le aussi schema d’API que l’application mobile https://besthookupwebsites.org/fr/pussysaga-review/, nous allons prendre la voie la plus facile et intercepter l’integralite des requi?tes entrantes et sortantes via Burp Suite .
Explorer Bumble Boost
Les services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement Afin de des fonctionnalites Boost suivantes:
- Votes illimites
- Retour en arriere
- Ligne droite
- Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre la totalite des utilisateurs actifs de Bumble, leurs interets, le type de personnes qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.
L’application mobile de Bumble a une limite sur le nombre de balayages a droite (votes) que vous pourrez utiliser pendant la journee. Un coup que des utilisateurs ont atteint un limite de balayage quotidienne (environ 100 balayages a droite), ils doivent patienter 24 heures afin que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Mes votes paraissent traites a l’aide d’une demande suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:
- «Vote»: 1 – L’utilisateur n’a gui?re vote.
- “Vote”: 2 – L’utilisateur a glisse a droite concernant l’utilisateur avec le person_id
- “Vote”: 3 – L’utilisateur a glisse par la gauche via l’utilisateur avec le person_id
Deixe uma resposta