Un ricercatore di sicurezza ha scoperto una vulnerabilità nella popolare app di appuntamenti balbettare Avrebbe potuto consentire all’aggressore di determinare l’esatta posizione di altri utenti del servizio.
Robert Heaton che lavora come ingegnere del software presso una società di pagamenti nastroScopri la vulnerabilità in app di incontri Ha quindi proceduto a sviluppare e implementare un attacco “a tre punte” per testare le sue scoperte, che ha dettagliato in un nuovo rapporto Post sul blog.
Se la vulnerabilità scoperta da Heaton viene sfruttata da un utente malintenzionato, può utilizzare l’app e il servizio Bubmle per scoprire l’indirizzo di casa delle vittime e anche tenere traccia dei loro movimenti nel mondo reale in una certa misura. Tuttavia, poiché Bumble non aggiorna spesso la posizione dei suoi utenti nella sua app, non fornirà all’aggressore un feed live della posizione della vittima, ma solo un’idea generale.
Gli utenti di Bumble non devono preoccuparsi anche se Heaton ha segnalato le sue scoperte all’azienda tramite Hackron La vulnerabilità è stata poi corretta solo tre giorni dopo. Per i suoi sforzi, Heaton ha ricevuto un bonus bug Vale fino a $ 2000.
Traccia la posizione di un utente Bumble
Durante la ricerca del rilevamento della posizione presso Bumble, Heaton ha creato uno script automatizzato che invia una serie di richieste ai server dell’azienda. Queste richieste trasmettevano ripetutamente l'”aggressore” prima di richiedere la distanza alla vittima.
Secondo Heaton, se un aggressore riesce a trovare il punto in cui la distanza segnalata di un altro utente di Bumble cambia da 3 miglia a 4 miglia, può dedurre che questo è il punto in cui la sua vittima si trova esattamente a 3,5 miglia di distanza. Dopo aver trovato i cosiddetti “punti di ribaltamento”, l’attaccante avrà tre distanze specifiche per la sua vittima rendendo possibile una triangolazione accurata.
Inoltre, Heaton è stato in grado di falsificare le richieste di “scorrimento verso l’alto” nell’app Bumble su chiunque avesse anche dichiarato interesse per un profilo senza pagare una commissione di $ 1,99 eludendo i controlli delle firme per le richieste API.
Da allora, Bumble ha corretto la vulnerabilità scoperta da Heaton, ma anche le persone che utilizzano frequentemente app di appuntamenti online dovrebbero prendere in considerazione l’installazione di un file VPN sul proprio smartphone per evitare tracciamenti online indesiderati e, in questo caso, nel mondo reale.
attraverso Sorso giornaliero
“Esperto di Internet. Fan della TV. Analista esasperatamente umile. Pioniere di Twitter impenitente. Fanatico del caffè freelance.”