Как я сломал аккаунты Tinder с помощью набора аккаунтов Facebook и заработал 6250 долларов награды

1656673689 kak ya slomal akkaunty tinder s pomoshhyu nabora akkauntov facebook

от AppSecure

1*vHP5HMwV-gHOYTtgVxYzfw

Это публикуется с разрешения Facebook в соответствии с политикой ответственного раскрытия информации.

Уязвимости, упомянутые в этой публикации в блоге, были быстро устранены инженерными группами Facebook и Tinder.

В этой публикации говорится об уязвимости, которую я обнаружил в приложении Tinder. Используя это, злоумышленник мог получить доступ к аккаунту Tinder жертвы, которая, по-видимому, использовала свой номер телефона для входа.

Это могло быть использовано из-за уязвимости в наборе аккаунтов Facebook, которую Facebook недавно рассмотрел.

И веб- и мобильные приложения Tinder позволяют пользователям использовать номера своих мобильных телефонов для входа в службу. И эта услуга входа предоставляется Account Kit (Facebook).

0*Pl2ybNU6xXSeKDeo
Служба входа на базе Accountkit Facebook на Tinder

Пользователь нажимает Войти с помощью телефонного номера на tinder.com, а затем они перенаправляются на Accountkit.com для входа. Если аутентификация прошла успешно, Account Kit передает маркер доступа к Tinder для входа.

Интересно, что Tinder API не проверял идентификатор клиента на маркере, предоставленном Account Kit.

Это позволило злоумышленнику использовать маркер доступа любого другого приложения, предоставленного Account Kit, чтобы завладеть настоящими аккаунтами Tinder других пользователей.

Описание уязвимости

Account Kit — это продукт Facebook, позволяющий людям быстро регистрироваться и входить в некоторые зарегистрированные приложения, используя только номера телефонов или адреса электронной почты, не требуя пароля. Он надежен, прост в использовании и дает пользователю возможность выбора способа регистрации в приложениях.

Tinder – это мобильное приложение с определением местоположения для поиска и знакомства с новыми людьми. Это позволяет пользователям ставить «нравится» или «не нравится» другим пользователям, а затем переходить к чату, если обе стороны провели вправо.

У Account Kit была уязвимость, по которой злоумышленник мог получить доступ к аккаунту Account Kit любого пользователя, просто используя номер телефона. Попав в систему, злоумышленник мог завладеть маркером доступа к набору аккаунтов пользователя, содержащемуся в его файлах cookie (aks).

После этого злоумышленник мог использовать маркер доступа (aks) для входа в аккаунт Tinder пользователя с помощью уязвимого API.

Как мой эксплойт работал шаг за шагом

Шаг 1

Сначала злоумышленник войдет в аккаунт жертвы, введя номер телефона жертвы в «новый_номер_телефона” в запросе API, показанном ниже.

Обратите внимание, что Account Kit не проверял сопоставление телефонных номеров с одноразовым паролем. Злоумышленник мог ввести любой номер телефона, а затем просто войти в аккаунт жертвы в аккаунте Kit.

Тогда злоумышленник мог скопировать маркер доступа жертвы aks программы Account Kit из файлов cookie.

Уязвимый API Kit Account:

POST /update/async/phone/confirm/?dpr=2 HTTP/1.1

Хост: www.accountkit.com

новый_номер_телефона=[vctim’s phone number]&update_request_code=c1fb2e919bb33a076a7c6fe4a9fbfa97[attacker’s request code]&confirmation_code=258822[attacker’s code]&__user=0&__a=1&__dyn=&__req=6&__be=-1&__pc=PHASED%3ADEFAULT&__rev=3496767&fb_dtsg=&jazoest=

0*f8qh3mB0PK71sZP_
Изображение файла cookie «aks» на accountkit.com

Шаг №2

Теперь злоумышленник просто воспроизводит следующий запрос, используя скопированный маркер доступа «aks» жертвы в Tinder API ниже.

Они войдут в аккаунт жертвы в Tinder. Тогда злоумышленник должен полностью контролировать учетную запись жертвы. Среди прочего они могли читать приватные чаты, полную личную информацию и листать профили других пользователей влево или вправо.

Уязвимый API Tinder:

POST /v2/auth/login/accountkit?locale=en HTTP/1.1
Ведущий: api.gotinder.com
Подключение: закрыть
Продолжительность: 185
Происхождение: https://tinder.com
версия программы: 1000000
платформа: веб
User-Agent: Mozilla/5.0 (Macintosh)
тип содержимого: приложение/json
Принять: */*
Рекомендатор: https://tinder.com/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
{“токен”:”xxx”,”id”:””}

Видео Доказательство концепции

Хронология

Обе уязвимости были быстро устранены Tinder и Facebook. Facebook вознаградил меня 5000 долларов США, а Tinder – 1250 долларов США.

Я основатель AppSecure, специализированной компании по кибербезопасности с годами приобретенных навыков и тщательного опыта. Мы здесь, чтобы защитить ваш бизнес и критически важные данные от онлайновых и офлайновых угроз или уязвимостей.

Вы можете связаться с нами по адресу anand.prakash@appsecure.in или sales@appsecure.in.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *