Au cadre de la recherche de ISE Labs sur les applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons De quelle fai§on un attaquant peut contourner le paiement pour avoir acci?s a la plupart des fonctionnalites premium de Bumble Boost. Si ce qui ne semble gui?re assez interessant, decouvrez comment un attaquant pourra vider toute la base d’utilisateurs de Bumble avec des informations utilisateur d’origine et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – les images fantomes paraissent definitivement une chose.
Mises a jour – Au 1er novembre 2020, l’integralite des attaques mentionnees dans ce blog fonctionnaient i chaque fois. Lors du nouveau test des problemes suivants le 11 novembre 2020, Quelques problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a enfile a jour son schema de chiffrement https://besthookupwebsites.org/fr/quickflirt-review/ precedent. Ca signifie qu’un attaquant ne pourra plus vider la base d’utilisateurs entiere de Bumble en utilisant l’attaque tel decrit ici. Notre exige d’API ne fournit plus la distance en miles – le suivi de l’emplacement avec triangulation n’est donc plus une possibilite en utilisant la reponse de donnees de votre point de terminaison. Un attaquant pourra i chaque fois se servir de le point de terminaison pour obtenir des renseignements telles que nos likes Facebook, des photos et d’autres precisions de profil telles que les complexes d’interet concernant des rencontres. Cela fonctionne forcement Afin de un utilisateur verrouille non valide, de manii?re qu’un attaquant va coder un nombre illimite de faux comptes pour vider des donnees utilisateur. Cependant, les attaquants ne vont pas pouvoir le faire que pour les identifiants chiffres qu’ils possedent deja (qui paraissent mis a disposition des personnes copains de vous). Il va i?tre probable que Bumble corrigera egalement ce probleme dans les prochains jours. Mes attaques contre le contournement du paiement Afin de des autres fonctionnalites premium de Bumble fonctionnent i chaque fois.
API REST de retro-ingenierie
Les developpeurs utilisent nos API REST Afin de dicter la maniere dont des diverses parties de la application communiquent entre elles et vont pouvoir etre configurees pour permettre a toutes les applications cote client d’acceder aux donnees des serveurs internes et d’effectuer des actions. Par exemple, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces a toutes les photos des utilisateurs, se produisent via Plusieurs demandes a l’API de Bumble.
Comme nos appels REST paraissent sans etat, c’est important que chaque point de terminaison verifie si l’emetteur de la demande est autorise a effectuer une action donnee. De surcroi®t, meme si les applications cote client n’envoient normalement pas de requetes dangereuses, les attaquants peuvent automatiser et manipuler des appels d’API pour effectuer des actions involontaires et recuperer des informations non autorisees. Cela explique diverses des failles potentielles de l’API de Bumble impliquant une exposition excessive aux informations et une absence de limitation de debit.
Etant donne que l’API de Bumble n’est nullement documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API Afin de comprendre comment le systeme traite les precisions des utilisateurs et les demandes cote client, d’autant plus que une objectif final reste de declencher des fuites de informations involontaires.
Normalement, la premiere etape consiste a intercepter des requetes HTTP envoyees voili l’application mobile Bumble. Cependant, comme Bumble a une application Web et partage le aussi schema d’API que l’application mobile, nous allons prendre la voie la plus facile et intercepter toutes les demandes entrantes et sortantes via Burp Suite .
Explorer Bumble Boost
Les services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement pour des fonctionnalites Boost suivantes:
- Votes illimites
- Retour en arriere
- Ligne droite
- Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre TOUS les utilisateurs actifs de Bumble, leurs interets, le type d’individus qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.
L’application mobile de Bumble a une limite dans le nombre de balayages a droite (votes) que vous pourrez se servir de pendant la journee. Un coup que les utilisateurs ont atteint un limite de balayage quotidienne (environ 100 balayages a droite), ils doivent patienter 24 heures afin que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Les votes seront traites a l’aide en demande suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:
- «Vote»: 1 – L’utilisateur n’a jamais vote.
- “Vote”: 2 – L’utilisateur a glisse a droite sur l’utilisateur avec le person_id
- “Vote”: 3 – L’utilisateur a glisse vers la gauche via l’utilisateur avec le person_id