Dans le cadre une recherche de ISE Labs sur les applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons De quelle fai§on un attaquant peut contourner le paiement pour avoir acci?s a certaines des fonctionnalites premium de Bumble Boost. Si cela ne semble jamais assez interessant, decouvrez De quelle fai§on un attaquant va vider toute la base d’utilisateurs de Bumble avec des informations utilisateur de base et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – des images fantomes paraissent definitivement une chose.
Mises a jour – Au 1er novembre 2020, l’integralite des attaques mentionnees dans ce blog fonctionnaient i chaque fois. Lors du nouveau test des problemes suivants le 11 novembre 2020, plusieurs problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a enfile a jour le schema de chiffrement precedent. Ca signifie qu’un attaquant ne est en mesure de plus vider la base d’utilisateurs entiere de Bumble en utilisant l’attaque comme decrit ici. La requi?te d’API ne fournit plus la distance en miles – le suivi de l’emplacement via triangulation n’est donc plus une possibilite en utilisant la reponse de donnees de ce point de terminaison. Un attaquant est en mesure de i chaque fois utiliser le point de terminaison pour obtenir des precisions telles que nos likes Facebook, des photos et d’autres renseignements de profil telles que des complexes d’interet concernant des rencontres. Cela fonctionne i chaque fois pour un utilisateur verrouille non valide, de manii?re qu’un attaquant va coder votre nombre illimite de faux comptes pour vider nos precisions utilisateur. Cependant, les attaquants ne vont pas pouvoir le faire que Afin de des identifiants chiffres qu’ils possedent deja (qui sont mis a disposition des gens copains de vous). Il semble probable que Bumble corrigera egalement votre probleme dans les prochains jours. Mes attaques contre le contournement du paiement Afin de nos autres fonctionnalites premium de Bumble fonctionnent toujours.
API REST de retro-ingenierie
Mes developpeurs utilisent des API REST Afin de dicter la maniere dont nos plusieurs parties d’une application communiquent entre elles et vont pouvoir etre configurees Afin de permettre aux applications cote client d’acceder a toutes les informations des serveurs internes et d’effectuer des actions. Prenons un exemple, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces aux photos des utilisateurs, se produisent via des demandes a l’API de Bumble.
Comme les appels REST sont sans etat, c’est important que chaque point de terminaison verifie si l’emetteur une demande est autorise a effectuer une action donnee. Sans compter que, meme si les applications cote client n’envoient normalement pas de seekingarrangement telecharger requetes dangereuses, des attaquants peuvent automatiser et manipuler des appels d’API Afin de effectuer des actions involontaires et recuperer des informations non autorisees. Cela explique certaines des failles potentielles de l’API de Bumble impliquant une exposition excessive aux informations et une absence de limitation de debit.
Etant donne que l’API de Bumble n’est nullement documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API pour comprendre comment le systeme traite les precisions des utilisateurs et les demandes cote client, d’autant plus que une objectif final est de declencher des fuites de informations involontaires.
Normalement, la premiere etape consiste a intercepter nos requetes HTTP envoyees avec l’application mobile Bumble. Cependant, tel Bumble a une application Web et partage le meme schema d’API que l’application mobile, nous allons prendre la voie la plus simple et intercepter toutes les requi?tes entrantes et sortantes via Burp Suite .
Explorer Bumble Boost
Les services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement pour les fonctionnalites Boost suivantes:
- Votes illimites
- Retour en arriere
- Ligne droite
- Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre TOUS les utilisateurs actifs de Bumble, leurs interets, le type d’individus qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.
L’application mobile de Bumble a une limite dans le nombre de balayages a droite (votes) que vous pouvez utiliser pendant la journee. Une fois que des utilisateurs ont atteint un limite de balayage quotidienne (environ 100 balayages a droite), ils doivent tarder 24 heures pour que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Les votes sont traites a l’aide une exige suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:
- «Vote»: 1 – L’utilisateur n’a gui?re vote.
- « Vote »: 2 – L’utilisateur a glisse a droite dans l’utilisateur avec le person_id
- « Vote »: 3 – L’utilisateur a glisse vers la gauche dans l’utilisateur avec le person_id