Исследователь безопасности обнаружил уязвимость в популярном приложении для знакомств. заикаться Это могло позволить злоумышленнику определить точное местонахождение других пользователей сервиса.
Роберт Хитон, который работает инженером-программистом в платежной компании. ЛентаНайдите уязвимость в приложение для знакомств Затем он приступил к разработке и реализации «трехсторонней» атаки для проверки своих выводов, которые он подробно изложил в новом отчете. Сообщение блога.
Если уязвимость, обнаруженная Heaton, используется злоумышленником, он может использовать приложение и сервис Bubmle для обнаружения домашнего адреса жертвы, а также в некоторой степени отслеживать их перемещения в реальном мире. Однако, поскольку Bumble не часто обновляет местоположение своих пользователей в своем приложении, он не будет предоставлять злоумышленнику прямую трансляцию местоположения жертвы, а только общее представление.
Пользователям Bumble не о чем беспокоиться, хотя Хитон сообщил о своих выводах компании через Хакрон Через три дня уязвимость была устранена. За свои усилия Хитон получил бонус за ошибку Стоит до 2000 долларов.
Отслеживание местоположения пользователя Bumble
Изучая отслеживание местоположения в Bumble, Хитон создал автоматизированный скрипт, который отправляет серию запросов на серверы компании. Эти запросы неоднократно передавались «злоумышленнику», прежде чем запрашивать расстояние до жертвы.
По словам Хитона, если злоумышленник может найти точку, в которой сообщаемое расстояние другого пользователя Bumble меняется с 3 миль до 4 миль, он может сделать вывод, что это точка, в которой его жертва находится ровно в 3,5 милях. После того, как так называемые «точки переворота» будут найдены, злоумышленник будет иметь три определенных расстояния для своей жертвы, что сделает возможной точную триангуляцию.
Кроме того, Heaton смог подделать запросы «смахивания вверх» в приложении Bumble для любого, кто также заявил о своей заинтересованности в профиле, без уплаты комиссии в размере 1,99 доллара США, обходя проверки подписи для запросов API.
С тех пор Bumble исправил уязвимость, обнаруженную Heaton, но людям, которые часто используют приложения для онлайн-знакомств, следует подумать об установке файла. VPN на своем смартфоне, чтобы избежать нежелательного онлайн-отслеживания, и в данном случае в реальном мире.
с помощью Ежедневный глоток
«Чрезвычайный решатель проблем. Ниндзя для путешествий. Типичный веб-наркоман. Проводник. Писатель. Читатель. Неизлечимый организатор».
More Stories
Реставрация электрокабины и штаба / QuadroDesign
Google Pixel Buds Pro 2: мягкая расслабляющая музыка
Google запускает новую функцию для улучшения миллионов телефонов Android