Dans le cadre d’une recherche de ISE Labs i propos des applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons De quelle fai§on un attaquant est en mesure de contourner le paiement pour acceder a quelques des fonctionnalites premium de Bumble Boost. Si ceci ne semble pas assez interessant, decouvrez De quelle fai§on un attaquant va vider toute la base d’utilisateurs de Bumble avec des informations utilisateur de base et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – les images fantomes paraissent definitivement une chose.
Mises a jour – Au 1er novembre 2020, l’ensemble des attaques mentionnees dans ce blog fonctionnaient i chaque fois. Lors du nouveau test des problemes suivants le 11 novembre 2020, certains problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a mis a jour son schema de chiffrement precedent. Cela signifie qu’un attaquant ne va plus vider la base d’utilisateurs entiere de Bumble avec l’attaque tel decrit ici. Notre requi?te d’API ne fournit plus la distance en miles – le suivi de l’emplacement avec triangulation n’est donc plus une possibilite en utilisant la reponse de donnees de votre point de terminaison. Un attaquant va i chaque fois choisir le point de terminaison pour obtenir des renseignements telles que les likes Facebook, des photos et d’autres precisions de profil telles que nos centres d’interet concernant des rencontres. Cela fonctionne toujours Afin de un utilisateur verrouille non valide, de manii?re qu’un attaquant est en mesure de creer 1 nombre illimite de faux comptes pour vider nos informations utilisateur. Cependant, les attaquants ne peuvent le Realiser que Afin de nos identifiants chiffres qu’ils possedent deja (qui seront mis a disposition des gens copains de vous). Il est probable que Bumble corrigera egalement votre probleme au sein des prochains jours. Mes attaques contre le contournement du paiement Afin de les autres fonctionnalites premium de Bumble fonctionnent i chaque fois.
API REST de retro-ingenierie
Les developpeurs utilisent nos API REST pour dicter la maniere dont les plusieurs parties de la https://besthookupwebsites.org/fr/mytranssexualdate-review/ application communiquent entre elles et vont pouvoir etre configurees pour permettre aux applications cote client d’acceder a toutes les informations des serveurs internes et d’effectuer des actions. Par exemple, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces aux photos des utilisateurs, se produisent via Plusieurs requi?tes a l’API de Bumble.
Comme des appels REST paraissent sans etat, il va i?tre important que chaque point de terminaison verifie si l’emetteur d’une demande est autorise a effectuer une action donnee. Encore, meme si les applications cote client n’envoient normalement aucune requetes dangereuses, les attaquants peuvent automatiser et manipuler nos appels d’API Afin de effectuer des actions involontaires et recuperer des donnees non autorisees. Ca explique certaines des failles potentielles de l’API de Bumble impliquant une exposition excessive a toutes les donnees et une absence de limitation de debit.
Du fait que l’API de Bumble n’est jamais documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API pour comprendre De quelle fai§on le systeme traite les informations des utilisateurs et les demandes cote client, d’autant plus que une objectif final reste de declencher des fuites de donnees involontaires.
Normalement, la premiere etape consiste a intercepter les requetes HTTP envoyees de l’application mobile Bumble. Cependant, comme Bumble a une application Web et partage le aussi schema d’API que l’application mobile, nous allons prendre la voie la plus facile et intercepter l’integralite des requi?tes entrantes et sortantes via Burp Suite .
Explorer Bumble Boost
Mes services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement pour nos fonctionnalites Boost suivantes:
- Votes illimites
- Retour en arriere
- Ligne droite
- Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre TOUS les utilisateurs actifs de Bumble, leurs interets, le type d’individus qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.
L’application mobile de Bumble a une limite sur le nombre de balayages a droite (votes) que vous pourrez choisir pendant la journee. Un coup que les utilisateurs ont atteint leur limite de balayage quotidienne (environ 100 balayages a droite), ils doivent patienter 24 heures afin que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Mes votes sont traites a l’aide d’la demande suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:
- «Vote»: 1 – L’utilisateur n’a nullement vote.
- “Vote”: 2 – L’utilisateur a glisse a droite concernant l’utilisateur avec le person_id
- “Vote”: 3 – L’utilisateur a glisse par la gauche sur l’utilisateur avec le person_id
