Dans le cadre d’la recherche de ISE Labs i propos des applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons De quelle fai§on un attaquant va contourner le paiement Afin de avoir acci?s a quelques des fonctionnalites premium de Bumble Boost. Si cela ne semble jamais assez interessant, decouvrez comment un attaquant peut vider toute la base d’utilisateurs de Bumble avec des informations utilisateur d’origine et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – des images fantomes paraissent definitivement une chose.
Mises a jour – Au 1er novembre 2020, l’ensemble des attaques mentionnees dans ce blog fonctionnaient toujours. Lors du nouveau test des problemes suivants le 11 novembre 2020, plusieurs problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a mis a jour son schema de chiffrement precedent. Cela signifie qu’un attaquant ne va plus vider la base d’utilisateurs entiere de Bumble avec l’attaque tel decrit ici. La demande d’API ne fournit plus la distance en miles – le suivi de l’emplacement par triangulation n’est donc plus une possibilite en utilisant la reponse de donnees de ce point de terminaison. Un attaquant va forcement utiliser le point de terminaison Afin de obtenir des informations telles que des likes Facebook, des photos et d’autres precisions de profil telles que des centres d’interet pour les rencontres. Cela fonctionne forcement pour un utilisateur verrouille non valide, de sorte qu’un attaquant est en mesure de creer votre nombre illimite de faux comptes pour vider des informations utilisateur. Cependant, les attaquants ne vont pas pouvoir le faire que Afin de des identifiants chiffres qu’ils possedent deja (qui seront mis a disposition des gens proches de vous). C’est probable que Bumble corrigera egalement ce probleme en prochains jours. Mes attaques contre le contournement du paiement Afin de les autres fonctionnalites premium de Bumble fonctionnent forcement.
API REST de retro-ingenierie
Mes developpeurs utilisent des API REST pour dicter la maniere dont des diverses parties de la application communiquent entre elles et ont la possibilite de etre configurees Afin de permettre aux applications cote client d’acceder aux donnees des serveurs internes et d’effectuer des actions. Comme, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces aux photos des utilisateurs, se produisent via des requi?tes a l’API de Bumble.
Comme les appels REST https://besthookupwebsites.org/fr/spdate-review/ seront sans etat, Cela reste important que chaque point de terminaison verifie si l’emetteur d’la demande est autorise a effectuer une action donnee. De surcroi®t, meme si les applications cote client n’envoient normalement aucune requetes dangereuses, des attaquants peuvent automatiser et manipuler les appels d’API Afin de effectuer des actions involontaires et recuperer des informations non autorisees. Ca explique la plupart des failles potentielles de l’API de Bumble impliquant une exposition excessive a toutes les precisions et une absence de limitation de debit.
Etant donne que l’API de Bumble n’est nullement documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API pour comprendre De quelle fai§on le systeme traite les informations des utilisateurs et les demandes cote client, d’autant plus que notre objectif final reste de declencher des fuites de informations involontaires.
Normalement, la premiere etape consiste a intercepter les requetes HTTP envoyees avec l’application mobile Bumble. Cependant, comme Bumble a une application Web et partage le aussi schema d’API que l’application mobile, nous allons prendre la voie la plus simple et intercepter l’ensemble des demandes entrantes et sortantes via Burp Suite .
Explorer Bumble Boost
Les services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement pour nos fonctionnalites Boost suivantes:
- Votes illimites
- Retour en arriere
- Ligne droite
- Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre l’ensemble des utilisateurs actifs de Bumble, leurs interets, le type de gens qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.
L’application mobile de Bumble a une limite concernant le nombre de balayages a droite (votes) que vous pourrez choisir pendant la journee. Une fois que les utilisateurs ont atteint leur limite de balayage quotidienne (environ 100 balayages a droite), ils doivent patienter 24 heures afin que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Mes votes paraissent traites a l’aide de la requi?te suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:
- «Vote»: 1 – L’utilisateur n’a gui?re vote.
- “Vote”: 2 – L’utilisateur a glisse a droite dans l’utilisateur avec le person_id
- “Vote”: 3 – L’utilisateur a glisse vers la gauche via l’utilisateur avec le person_id