Lorsque vous avez trop de temps libre et que vous souhaitez vider toute la base d’utilisateurs de Bumble et eviter de payer pour les fonctionnalites premium de Bumble Boost.
Dans le cadre d’la recherche de ISE Labs sur les applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons comment un attaquant est en mesure de contourner le paiement Afin de avoir acci?s a quelques des fonctionnalites premium de Bumble Boost. Si cela ne parai®t jamais assez interessant, decouvrez De quelle fai§on un attaquant est en mesure de vider toute la base d’utilisateurs de Bumble avec des informations utilisateur d’origine et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler — nos images fantomes paraissent definitivement une chose.
Mises a jour — Au 1er novembre 2020, chacune des attaques mentionnees dans votre blog fonctionnaient i chaque fois. Lors du nouveau test des problemes suivants le 11 novembre 2020, Quelques problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a foutu a jour le schema de chiffrement precedent. Cela signifie qu’un attaquant ne peut plus vider la base d’utilisateurs entiere de Bumble avec l’attaque tel decrit ici. J’ai requi?te d’API ne fournit plus la distance en miles — le suivi de l’emplacement avec triangulation n’est donc plus une possibilite avec la reponse de donnees de votre point de terminaison. Un attaquant peut i chaque fois se servir de le point de terminaison Afin de obtenir des precisions telles que les likes Facebook, des photos et d’autres precisions de profil telles que les centres d’interet pour des rencontres. Cela fonctionne forcement Afin de un utilisateur verrouille non valide, de fai§on qu’un attaquant pourra creer votre nombre illimite de faux comptes pour vider des donnees utilisateur. Cependant, les attaquants ne vont pas pouvoir le faire que pour des identifiants chiffres qu’ils possedent deja (qui seront mis a disposition des individus proches de vous). Il est probable que Bumble corrigera egalement votre probleme dans les prochains jours. Les attaques contre le contournement du paiement Afin de les autres fonctionnalites premium de Bumble fonctionnent forcement.
API REST de retro-ingenierie
Les developpeurs utilisent les API REST Afin de dicter la maniere dont les differentes parties d’une application communiquent entre elles et peuvent etre configurees Afin de permettre aux applications cote client d’acceder aux precisions des serveurs internes et d’effectuer des actions. Pourquoi pas, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces aux photos des utilisateurs, se produisent via des demandes a l’API de Bumble.
Comme des appels REST paraissent sans etat, il est important que chaque point de terminaison verifie si l’emetteur en demande est autorise a effectuer une action donnee. De surcroit, meme si les applications cote client n’envoient normalement pas de requetes dangereuses, nos attaquants peuvent automatiser et manipuler les appels d’API pour effectuer des actions involontaires et recuperer des informations non autorisees. Cela explique certaines des failles potentielles de l’API de Bumble impliquant une exposition excessive a toutes les donnees et un manque de limitation de debit.
Du fait que l’API de Bumble n’est gui?re documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API
Normalement, la premiere etape consiste a intercepter les requetes HTTP envoyees depuis l’application mobile Bumble. Cependant, tel Bumble a une application Web et partage le meme schema d’API que l’application mobile, nous allons prendre la voie la plus simple et intercepter chacune des demandes entrantes et sortantes via Burp Suite .
Explorer Bumble Boost
Les services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement Afin de des fonctionnalites Boost suivantes:
- Votes illimites
- Retour en arriere
- Ligne droite
- Filtrage avance illimite — sauf que nous sommes egalement curieux de connaitre la totalite des utilisateurs actifs de Bumble, leurs interets, le type d’individus qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.
L’application mobile de Bumble a une limite concernant le nombre de balayages a droite (votes) que vous pouvez se servir de pendant la journee. Un coup que des utilisateurs ont atteint un limite de balayage quotidienne (environ 100 balayages a droite), ils doivent recevoir 24 heures pour que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Les votes sont traites a l’aide une requi?te suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:
- «Vote»: 1 — L’utilisateur n’a nullement vote.
- «Vote»: 2 — L’utilisateur a glisse a droite via l’utilisateur avec le person_id
- «Vote»: 3 — L’utilisateur a glisse par la gauche dans l’utilisateur avec le person_id