Dans le cadre de la recherche de ISE Labs sur les applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons De quelle fai§on un attaquant peut contourner le paiement pour avoir acci?s a diverses des fonctionnalites premium de Bumble Boost. Si i§a ne parait jamais assez interessant, decouvrez De quelle fai§on un attaquant va vider toute la base d’utilisateurs de Bumble avec des informations utilisateur d’origine et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – des images fantomes seront definitivement une chose.
Mises a jour – Au 1er novembre 2020, chacune des attaques mentionnees dans votre blog fonctionnaient toujours. Lors du nouveau test des problemes suivants le 11 novembre 2020, Divers problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a mis a jour son schema de chiffrement precedent. Cela signifie qu’un attaquant ne peut plus vider la base d’utilisateurs entiere de Bumble en utilisant l’attaque comme decrit ici. J’ai exige d’API ne fournit plus la distance en miles – le suivi de l’emplacement par triangulation n’est donc plus une possibilite en utilisant la reponse de donnees de ce point de terminaison. Un attaquant est en mesure de forcement choisir le point de terminaison pour obtenir des informations telles que des likes Facebook, des photos et d’autres renseignements de profil telles que des complexes d’interet concernant les rencontres. Cela fonctionne forcement pour un utilisateur verrouille non valide, de manii?re qu’un attaquant va coder un nombre illimite de faux comptes pour vider des donnees utilisateur. Cependant, les attaquants ne peuvent le Realiser que pour les identifiants chiffres qu’ils possedent deja (qui seront mis a disposition des gens proches de vous). Il va i?tre probable que Bumble corrigera egalement votre probleme en prochains jours. Mes attaques contre le contournement du paiement Afin de les autres fonctionnalites premium de Bumble fonctionnent i chaque fois.
API REST de retro-ingenierie
Mes developpeurs utilisent les API REST Afin de dicter la maniere dont des differentes parties d’une application communiquent entre elles et vont pouvoir etre configurees pour permettre aux applications cote client d’acceder aux informations des serveurs internes et d’effectuer des actions. Entre autres, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces a toutes les photos des utilisateurs, se produisent via Plusieurs requi?tes a l’API de Bumble.
Comme les appels REST seront sans etat, avis meddle c’est important que chaque point de terminaison verifie si l’emetteur d’la demande est autorise a effectuer une action donnee. De surcroi®t, meme si les applications cote client n’envoient normalement aucune requetes dangereuses, des attaquants peuvent automatiser et manipuler nos appels d’API Afin de effectuer des actions involontaires et recuperer des donnees non autorisees. Ca explique certaines des failles potentielles de l’API de Bumble impliquant une exposition excessive a toutes les precisions et un tracas de limitation de debit.
Du fait que l’API de Bumble n’est jamais documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API pour comprendre comment le systeme traite les precisions des utilisateurs et les demandes cote client, d’autant plus que une objectif final est de declencher des fuites de precisions involontaires.
Normalement, la premiere etape consiste a intercepter nos requetes HTTP envoyees depuis l’application mobile Bumble. Cependant, tel Bumble a une application Web et partage le meme schema d’API que l’application mobile, nous allons prendre la voie la moins complique et intercepter chacune des demandes entrantes et sortantes via Burp Suite .
Explorer Bumble Boost
Mes services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement pour des fonctionnalites Boost suivantes:
- Votes illimites
- Retour en arriere
- Ligne droite
- Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre l’integralite des utilisateurs actifs de Bumble, leurs interets, le type de gens qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.
L’application mobile de Bumble a une limite concernant le nombre de balayages a droite (votes) que vous pouvez choisir pendant la journee. Une fois que des utilisateurs ont atteint leur limite de balayage quotidienne (environ 100 balayages a droite), ils doivent attendre 24 heures pour que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Mes votes seront traites a l’aide une requi?te suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:
- «Vote»: 1 – L’utilisateur n’a jamais vote.
- “Vote”: 2 – L’utilisateur a glisse a droite via l’utilisateur avec le person_id
- “Vote”: 3 – L’utilisateur a glisse par la gauche via l’utilisateur avec le person_id