Un chercheur en sécurité a découvert une vulnérabilité dans l’application de rencontres populaire Bumble qui aurait pu permettre à un attaquant de localiser avec précision les autres utilisateurs du service.
Robert Heaton, qui travaille comme ingénieur logiciel pour la société de paiement Stripe, a découvert la vulnérabilité de l’application de rencontres, puis a développé et exécuté une attaque de « trilatération » pour tester ses découvertes, qu’il a détaillées dans un nouveau billet de blog.
Si la vulnérabilité découverte par Heaton devait être exploitée par un attaquant, il pourrait utiliser l’application et le service de Bubmle pour découvrir l’adresse du domicile de la victime et suivre dans une certaine mesure leurs mouvements dans le monde réel. Cependant, comme Bumble ne met pas très souvent à jour l’emplacement de ses utilisateurs dans son application, il ne fournirait pas à un attaquant un flux en direct de l’emplacement d’une victime, juste une idée générale.
Les utilisateurs de Bumble n’ont cependant pas à s’inquiéter, car Heaton a rapporté ses découvertes à la société via HackerOne, après quoi il a corrigé la vulnérabilité trois jours plus tard. Pour ses efforts, Heaton a reçu une prime de bogue d’un montant de 2 000 $.
Sommaire
Suivi de l’emplacement d’un utilisateur Bumble
Au cours de ses recherches sur le suivi de localisation dans Bumble, Heaton a créé un script automatisé qui a envoyé une séquence de requêtes aux serveurs de l’entreprise. Ces demandes ont relocalisé à plusieurs reprises « l’agresseur » avant de demander la distance avec la victime.
Selon Heaton, si un attaquant peut trouver le point auquel la distance signalée d’un autre utilisateur de Bumble passe de 3 miles à 4 miles, il peut alors en déduire qu’il s’agit du point auquel sa victime se trouve exactement à 3,5 miles d’eux. Après avoir trouvé ces soi-disant « points de retournement », l’attaquant aurait alors trois distances exactes jusqu’à sa victime, ce qui rendrait possible une triangulation précise.
De plus, Heaton a réussi à usurper les demandes de « glisser oui » dans l’application Bumble sur toute personne qui a également déclaré un intérêt pour un profil sans payer de frais de 1,99 $ en contournant les contrôles de signature pour les demandes d’API.
Bumble a depuis corrigé la vulnérabilité découverte par Heaton, mais les célibataires qui utilisent fréquemment des applications de rencontres en ligne devraient également envisager d’installer un VPN sur leurs smartphones pour éviter un suivi indésirable en ligne et dans ce cas, dans le monde réel.
Via The Daily Swig
