Au cadre une recherche de ISE Labs i propos des applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons De quelle fai§on un attaquant va contourner le paiement Afin de acceder a certaines des fonctionnalites premium de Bumble Boost. Si ceci ne parait nullement assez interessant, decouvrez comment un attaquant est en mesure de vider toute la base d’utilisateurs de Bumble avec des informations utilisateur d’origine et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – nos images fantomes paraissent definitivement une chose.
Mises a jour – Au 1er novembre 2020, chacune des attaques mentionnees dans ce blog fonctionnaient toujours. Lors du nouveau test des problemes suivants le 11 novembre 2020, plusieurs problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a foutu a jour son schema de chiffrement precedent. Cela signifie qu’un attaquant ne peut plus vider la base d’utilisateurs entiere de Bumble avec l’attaque comme decrit ici. La demande d’API ne fournit plus la distance en miles – le suivi de l’emplacement par triangulation n’est donc plus une possibilite avec la reponse de donnees de ce point de terminaison. Un attaquant peut toujours se servir de le point de terminaison Afin de obtenir des renseignements telles que des likes Facebook, des photos et d’autres precisions de profil telles que des complexes d’interet pour nos rencontres. Ca fonctionne toujours Afin de un utilisateur verrouille non valide, de manii?re qu’un attaquant peut coder 1 nombre illimite de faux comptes pour vider les donnees utilisateur. Cependant, les attaquants ne peuvent le faire que pour nos identifiants chiffres qu’ils possedent deja (qui sont mis a disposition des gens copains de vous). Il est probable que Bumble corrigera egalement votre probleme au sein des prochains jours. Mes attaques contre le contournement du paiement Afin de nos autres fonctionnalites premium de Bumble fonctionnent forcement.
API REST de retro-ingenierie
Mes developpeurs utilisent les API REST pour dicter la maniere dont les differentes parties d’une application communiquent entre elles et ont la possibilite de etre configurees Afin de permettre aux applications cote client d’acceder aux donnees des serveurs internes et d’effectuer des actions. Prenons un exemple, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces a toutes les photos des utilisateurs, se produisent via des requi?tes a l’API de Bumble.
Comme les appels REST paraissent sans etat, il va i?tre important que chaque point de terminaison verifie si l’emetteur de la demande est autorise a effectuer une action donnee. Encore, meme si les applications cote client n’envoient normalement pas de requetes dangereuses, nos attaquants peuvent automatiser et manipuler nos appels d’API pour effectuer des actions involontaires et recuperer des precisions non autorisees. Cela explique quelques des failles potentielles de l’API de Bumble impliquant une exposition excessive a toutes les informations et une absence de limitation de debit.
Etant donne que l’API de Bumble n’est nullement documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API Afin de comprendre comment le systeme traite les informations des utilisateurs et les demandes cote client, d’autant plus que une objectif final est de declencher des fuites de informations involontaires.
Normalement, la premiere etape consiste a intercepter des requetes HTTP envoyees de l’application mobile Bumble. Cependant, comme Bumble a une application Web et partage le meme schema d’API que l’application mobile, nous allons prendre la voie la plus simple et intercepter toutes les requi?tes entrantes et sortantes via Burp Suite .
Explorer Bumble Boost
Les services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement Afin de des fonctionnalites Boost suivantes:
- Votes illimites
- Retour en arriere
- Ligne droite
- Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre la totalite des utilisateurs actifs de Bumble, leurs interets, le type d’individus qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.
L’application mobile de Bumble a une limite concernant le nombre de balayages a droite (votes) que vous pourrez se servir de pendant la journee. Un coup que les utilisateurs ont atteint leur limite de balayage quotidienne (environ 100 balayages a droite), ils doivent recevoir 24 heures afin que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Les votes paraissent traites a l’aide de la exige https://besthookupwebsites.org/fr/snapfuck-review/ suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:
- «Vote»: 1 – L’utilisateur n’a gui?re vote.
- “Vote”: 2 – L’utilisateur a glisse a droite concernant l’utilisateur avec le person_id
- “Vote”: 3 – L’utilisateur a glisse vers la gauche via l’utilisateur avec le person_id