Quand vous avez trop de temps libre et que vous souhaitez vider toute la base d’utilisateurs de Bumble et ne pas payer pour les fonctionnalites premium de Bumble Boost.

Quand vous avez trop de temps libre et que vous souhaitez vider toute la base d’utilisateurs de Bumble et ne pas payer pour les fonctionnalites premium de Bumble Boost.
February 7, 2022 pinaxis112

Quand vous avez trop de temps libre et que vous souhaitez vider toute la base d’utilisateurs de Bumble et ne pas payer pour les fonctionnalites premium de Bumble Boost.

Dans le cadre d’une recherche de site no strings attached ISE Labs i  propos des applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons De quelle fai§on un attaquant va contourner le paiement pour acceder a quelques des fonctionnalites premium de Bumble Boost. Si cela ne parait gui?re assez interessant, decouvrez De quelle fai§on un attaquant est en mesure de vider toute la base d’utilisateurs de Bumble avec des informations utilisateur de base et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – nos images fantomes sont definitivement une chose.

Mises a jour – Au 1er novembre 2020, l’integralite des attaques mentionnees dans ce blog fonctionnaient i  chaque fois. Lors du nouveau test des problemes suivants le 11 novembre 2020, Divers problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a mis a jour le schema de chiffrement precedent. Ca signifie qu’un attaquant ne va plus vider la base d’utilisateurs entiere de Bumble avec l’attaque tel decrit ici. Notre exige d’API ne fournit plus la distance en miles – le suivi de l’emplacement par triangulation n’est donc plus une possibilite en utilisant la reponse de donnees de votre point de terminaison. Un attaquant est en mesure de i  chaque fois se servir de le point de terminaison pour obtenir des precisions telles que des likes Facebook, des photos et d’autres precisions de profil telles que nos centres d’interet pour les rencontres. Ca fonctionne forcement pour un utilisateur verrouille non valide, de sorte qu’un attaquant pourra coder 1 nombre illimite de faux comptes pour vider les informations utilisateur. Cependant, les attaquants ne vont pas pouvoir le Realiser que Afin de des identifiants chiffres qu’ils possedent deja (qui seront mis a disposition des personnes copains de vous). Il est probable que Bumble corrigera egalement ce probleme dans les prochains jours. Les attaques contre le contournement du paiement pour les autres fonctionnalites premium de Bumble fonctionnent toujours.

API REST de retro-ingenierie

Les developpeurs utilisent nos API REST pour dicter la maniere dont nos differentes parties de la application communiquent entre elles et vont pouvoir etre configurees pour permettre aux applications cote client d’acceder a toutes les donnees des serveurs internes et d’effectuer des actions. Notamment, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces a toutes les photos des utilisateurs, se produisent via Plusieurs requi?tes a l’API de Bumble.

Comme les appels REST sont sans etat, il est important que chaque point de terminaison verifie si l’emetteur d’une demande est autorise a effectuer une action donnee. De surcroi®t, meme si les applications cote client n’envoient normalement aucune requetes dangereuses, nos attaquants peuvent automatiser et manipuler nos appels d’API Afin de effectuer des actions involontaires et recuperer des informations non autorisees. Ca explique quelques des failles potentielles de l’API de Bumble impliquant une exposition excessive a toutes les precisions et une absence de limitation de debit.

Du fait que l’API de Bumble n’est nullement documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API Afin de comprendre De quelle fai§on le systeme traite les informations des utilisateurs et les demandes cote client, d’autant plus que notre objectif final est de declencher des fuites de informations involontaires.

Normalement, la premiere etape consiste a intercepter nos requetes HTTP envoyees avec l’application mobile Bumble. Cependant, comme Bumble a une application Web et partage le meme schema d’API que l’application mobile, nous allons prendre la voie la plus facile et intercepter chacune des requi?tes entrantes et sortantes via Burp Suite .

Explorer Bumble Boost

Les services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement pour les fonctionnalites Boost suivantes:

  1. Votes illimites
  2. Retour en arriere
  3. Ligne droite
  4. Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre l’ensemble des utilisateurs actifs de Bumble, leurs interets, le type de personnes qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.

L’application mobile de Bumble a une limite concernant le nombre de balayages a droite (votes) que vous pourrez choisir pendant la journee. Une fois que les utilisateurs ont atteint leur limite de balayage quotidienne (environ 100 balayages a droite), ils doivent patienter 24 heures pour que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Les votes seront traites a l’aide de la exige suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:

  • «Vote»: 1 – L’utilisateur n’a nullement vote.
  • “Vote”: 2 – L’utilisateur a glisse a droite concernant l’utilisateur avec le person_id
  • “Vote”: 3 – L’utilisateur a glisse vers la gauche dans l’utilisateur avec le person_id

Comments (0)

Leave a reply

Your email address will not be published.

*