de către AppSecure

Cum am piratat conturile Tinder folosind setul de conturi Facebook și am câștigat 6.250 USD în recompense

Cum am piratat conturile Tinder folosind setul de conturi Facebook

Acest lucru este publicat cu permisiunea Facebook în conformitate cu politica de divulgare responsabilă.

Vulnerabilitățile menționate în această postare de blog au fost blocate rapid de echipele de ingineri de pe Facebook și Tinder.

Această postare este despre o vulnerabilitate de preluare a contului pe care am descoperit-o în aplicația Tinder. Exploatând acest lucru, un atacator ar fi putut obține acces la contul Tinder al victimei, care trebuie să-și fi folosit numărul de telefon pentru a se conecta.

Acest lucru ar fi putut fi exploatat printr-o vulnerabilitate din setul de conturi Facebook, pe care Facebook s-a adresat recent.

ad-banner

Ambele aplicații web și mobile ale Tinder permit utilizatorilor să își folosească numerele de telefon mobil pentru a se conecta la serviciu. Și acest serviciu de conectare este furnizat de Account Kit (Facebook).

Serviciu de conectare oferit de Accountkit-ul Facebook pe Tinder

Utilizatorul face clic pe Conectați-vă cu numărul de telefon pe tinder.com și apoi sunt redirecționați către Accountkit.com pentru autentificare. Dacă autentificarea este reușită, atunci Kit-ul de cont transmite jetonul de acces către Tinder pentru autentificare.

Interesant este că API-ul Tinder nu a verificat ID client pe jetonul furnizat de setul de conturi.

Acest lucru i-a permis atacatorului să folosească tokenul de acces al oricărei alte aplicații furnizat de Account Kit pentru a prelua conturile reale Tinder ale altor utilizatori.

Descrierea vulnerabilității

Trusa de cont este un produs Facebook care permite oamenilor să se înregistreze rapid și să se conecteze la unele aplicații înregistrate folosind doar numerele de telefon sau adresele de e-mail fără a avea nevoie de o parolă. Este fiabil, ușor de utilizat și oferă utilizatorului o alegere cu privire la modul în care dorește să se înscrie pentru aplicații.

Tinder este o aplicație mobilă bazată pe locație pentru căutarea și întâlnirea de oameni noi. Permite utilizatorilor să aprecieze sau să nu-i placă pe ceilalți utilizatori și apoi să treacă la un chat dacă ambele părți s-au deplasat direct.

A existat o vulnerabilitate în Account Kit, prin care un atacator ar fi putut obține acces la contul Account Kit al oricărui utilizator doar prin utilizarea numărului său de telefon. Odată ajuns, atacatorul ar fi putut obține din jetonul de acces al kitului de cont al utilizatorului prezent în cookie-urile lor (aks).

După aceea, atacatorul ar putea folosi jetonul de acces (aks) pentru a se conecta la contul Tinder al utilizatorului utilizând un API vulnerabil.

Cum a funcționat exploatarea mea pas cu pas

Pasul 1

Mai întâi, atacatorul se conecta la contul setului de conturi al victimei introducând numărul de telefon al victimei în „număr_nou_telefon”În solicitarea API prezentată mai jos.

Vă rugăm să rețineți că setul de conturi nu a verificat maparea numerelor de telefon cu parola lor unică. Atacatorul ar putea introduce numărul de telefon al oricui și apoi pur și simplu să se conecteze la contul setului de conturi al victimei.

Apoi, atacatorul ar putea copia jetonul de acces „aks” al victimei din aplicația Kit de cont din cookie-uri.

API-ul vulnerabil pentru kitul de cont:

POST / update / async / phone / confirm /? Dpr = 2 HTTP / 1.1

Gazdă: www.accountkit.com

new_phone_number =[vctim’s phone number]& update_request_code = c1fb2e919bb33a076a7c6fe4a9fbfa97[attacker’s request code]& confirmation_code = 258822[attacker’s code]& __ user = 0 & __ a = 1 & __ dyn = & __ req = 6 & __ be = -1 & __ pc = PHASED% 3ADEFAULT & __ rev = 3496767 & fb_dtsg = & jazoest =

0*f8qh3mB0PK71sZP
Imagine care arată cookie-ul „aks” pe accountkit.com

Pasul 2

Acum atacatorul redă pur și simplu următoarea solicitare folosind simbolul de acces copiat „aks” al victimei în API-ul Tinder de mai jos.

Acestea vor fi conectate la contul Tinder al victimei. Atacatorul ar avea atunci practic control deplin asupra contului victimei. Aceștia ar putea citi chat-uri private, informații personale complete și, printre altele, pot glisa profilurile altor utilizatori.

API Tinder vulnerabil:

POST / v2 / auth / login / accountkit? Locale = en HTTP / 1.1
Gazdă: api.gotinder.com
Conexiune: aproape
Lungimea conținutului: 185
Origine: https://tinder.com
versiunea aplicației: 1000000
platformă: web
User-Agent: Mozilla / 5.0 (Macintosh)
content-type: application / json
Accept: */*
Referent: https://tinder.com/
Acceptare-codificare: gzip, deflate
Accept-Language: en-US, en; q = 0.9
{„Token”: „xxx”, „id”: ””}

Dovada video a conceptului

Cronologie

Ambele vulnerabilități au fost remediate rapid de Tinder și Facebook. Facebook m-a recompensat cu 5.000 USD, iar Tinder mi-a acordat 1.250 USD.

Sunt fondatorul AppSecure, o companie specializată în securitate cibernetică cu ani de calificare dobândită și expertiză meticuloasă. Suntem aici pentru a vă proteja afacerea și datele critice de amenințări sau vulnerabilități online și offline.

Ne puteți contacta la anand.prakash@appsecure.in sau sales@appsecure.in.