一名安全研究人员在流行的约会应用程序Bumble中发现了一个漏洞,攻击者可以利用该漏洞确定该服务其他用户的精确位置。在支付公司Stripe担任软件工程师的 Robert Heaton发现了约会应用程序中的漏洞,然后继续开发并执行“三边测量”攻击以测试他在新博客文章中详细介绍的发现。
如果 Heaton 发现的漏洞被攻击者利用,他们可以使用 Bubmle 的应用程序和服务来发现受害者的家庭地址,并在一定程度上跟踪他们在现实世界中的活动。但是,由于 Bumble 不会经常在其应用程序中更新其用户的位置,因此它不会向攻击者提供受害者位置的实时信息,而只是一个大致的想法。
Bumble 用户无需担心,因为 Heaton 通过HackerOne向该公司报告了他的发现,并在三天后修补了该漏洞。由于他的努力,希顿获得了2,000 美元的漏洞赏金。
在他关于 Bumble 位置跟踪的研究期间,Heaton 创建了一个自动脚本,将一系列请求发送到公司的服务器。这些请求在请求与受害者的距离之前反复重新定位“攻击者”。
根据 Heaton 的说法,如果攻击者能够找到另一个 Bumble 用户报告的距离从 3 英里变为 4 英里的点,那么他们就可以推断出这是他们的受害者距离他们正好 3.5 英里的点。在找到这些所谓的“翻转点”后,攻击者将拥有与受害者的三个精确距离,这将使精确的三角测量成为可能。
此外,Heaton 还设法通过绕过 API 请求的签名检查,在不支付 1.99 美元费用的情况下,在 Bumble 应用程序中欺骗任何也声明对个人资料感兴趣的人的“swipe yes”请求。
Bumble 已经修复了 Heaton 发现的漏洞,但经常使用在线约会应用程序的单身人士也应该考虑在他们的智能手机上安装VPN,以避免在网上和在这种情况下在现实世界中进行不必要的跟踪。
标签: