Dans le cadre en recherche de ISE Labs i propos des applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons De quelle fai§on un attaquant va contourner le paiement Afin de acceder a quelques des fonctionnalites premium de Bumble Boost. Si ce qui ne parait pas assez interessant, decouvrez De quelle fai§on un attaquant pourra vider toute la base d’utilisateurs de Bumble avec des informations utilisateur d’origine et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – nos images fantomes sont definitivement une chose.
Mises a jour – Au 1er novembre 2020, l’ensemble des attaques mentionnees dans votre blog fonctionnaient forcement. Lors du nouveau test des problemes suivants le 11 novembre 2020, Divers problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a mis a jour le schema de chiffrement precedent. Ca signifie qu’un attaquant ne peut plus vider la base d’utilisateurs entiere de Bumble avec l’attaque tel decrit ici. La demande d’API ne fournit plus la distance en miles – le suivi de l’emplacement avec triangulation n’est donc plus une possibilite avec la reponse de donnees de votre point de terminaison. Un attaquant va toujours choisir le point de terminaison pour obtenir des renseignements telles que nos likes Facebook, des photos et d’autres renseignements de profil telles que des centres d’interet concernant les rencontres. Ca fonctionne i chaque fois pour un utilisateur verrouille non valide, de sorte qu’un attaquant pourra creer votre nombre illimite de faux comptes pour vider nos informations utilisateur. Cependant, les attaquants ne peuvent le faire que pour les identifiants chiffres qu’ils possedent deja (qui paraissent mis a disposition des gens amis de vous). Cela reste probable que Bumble corrigera egalement votre probleme au sein des prochains jours. Mes attaques contre le contournement du paiement Afin de nos autres fonctionnalites premium de Bumble fonctionnent toujours.
API REST de retro-ingenierie
Les developpeurs utilisent nos API REST Afin de dicter la maniere dont nos diverses parties d’une application communiquent entre elles et peuvent etre configurees Afin de permettre aux applications cote client d’acceder aux informations des serveurs internes et d’effectuer des actions. Comme, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces aux photos des utilisateurs, se produisent via Plusieurs requi?tes a l’API de Bumble.
Comme des appels REST paraissent sans etat, Cela reste important que chaque point de terminaison verifie si l’emetteur de la demande est autorise a effectuer une action donnee. De plus, meme si les applications cote client n’envoient normalement aucun requetes dangereuses, nos attaquants peuvent automatiser et manipuler nos appels d’API Afin de effectuer des actions involontaires et recuperer des precisions non autorisees. Ca explique la plupart des failles potentielles de l’API de Bumble impliquant une exposition excessive a toutes les precisions et un tracas de limitation de debit.
Du fait que l’API de Bumble n’est jamais documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API Afin de comprendre comment le systeme traite les donnees des utilisateurs et les demandes cote client, d’autant plus que notre objectif final reste de declencher des fuites de precisions involontaires.
Normalement, la premiere etape consiste a intercepter les requetes HTTP envoyees depuis l’application mobile Bumble. Cependant, tel Bumble a une application Web et partage le meme schema d’API que l’application mobile, nous allons prendre la voie la plus aise et intercepter chacune des requi?tes entrantes et sortantes via Burp Suite .
Explorer Bumble Boost
Mes services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement pour nos fonctionnalites Boost suivantes:
- Votes illimites
- Retour en arriere
- Ligne droite
- Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre l’integralite des utilisateurs actifs de Bumble, leurs interets, le type d’individus qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.
L’application mobile de Bumble a une limite concernant le nombre de balayages a droite (votes) que vous pourrez choisir pendant la journee. Un coup que nos utilisateurs ont atteint leur limite de balayage quotidienne (environ 100 balayages a droite), ils doivent tarder 24 heures pour que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Les votes sont traites a l’aide de la demande suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:
- «Vote»: 1 – L’utilisateur n’a jamais vote www.besthookupwebsites.org/fr/misstravel-review/.
- „Vote”: 2 – L’utilisateur a glisse a droite concernant l’utilisateur avec le person_id
- „Vote”: 3 – L’utilisateur a glisse vers la gauche concernant l’utilisateur avec le person_id