Un investigador de seguridad descubrió una vulnerabilidad en la popular aplicación de citas tartamudear Podría haber permitido al atacante determinar la ubicación exacta de otros usuarios del servicio.
Robert Heaton, que trabaja como ingeniero de software en una empresa de pagos cintaDescubra la vulnerabilidad en aplicación de citas Luego procedió a desarrollar e implementar un ataque de “tres frentes” para probar sus hallazgos, que detalló en un nuevo informe. Entrada en el blog.
Si un atacante explota la vulnerabilidad descubierta por Heaton, puede usar la aplicación y el servicio Bubmle para descubrir la dirección de la casa de las víctimas y también rastrear sus movimientos en el mundo real hasta cierto punto. Sin embargo, dado que Bumble no actualiza la ubicación de sus usuarios a menudo en su aplicación, no proporcionará al atacante una transmisión en vivo de la ubicación de la víctima, solo una idea general.
Los usuarios de Bumble no necesitan preocuparse, aunque Heaton informó sus hallazgos a la empresa a través de Hackron Luego, la vulnerabilidad se corrigió solo tres días después. Por sus esfuerzos, Heaton recibió una bono de error Tiene un valor de hasta $ 2000.
Seguimiento de la ubicación de un usuario de Bumble
Mientras investigaba el seguimiento de la ubicación en Bumble, Heaton creó un script automatizado que envía una serie de solicitudes a los servidores de la empresa. Estas solicitudes las transmitió repetidamente el “atacante” antes de solicitar la distancia a la víctima.
Según Heaton, si un atacante puede encontrar el punto en el que la distancia informada de otro usuario de Bumble cambia de 3 a 4 millas, puede deducir que este es el punto en el que su víctima está exactamente a 3,5 millas de distancia. Una vez que se encuentran los llamados “puntos de inflexión”, el atacante tendrá tres distancias específicas para su víctima, lo que hará posible una triangulación precisa.
Además, Heaton pudo falsificar solicitudes de “deslizar hacia arriba” en la aplicación Bumble a cualquier persona que también hubiera declarado interés en un perfil sin pagar una tarifa de $ 1.99 al eludir las verificaciones de firmas para solicitudes de API.
Desde entonces, Bumble ha solucionado la vulnerabilidad descubierta por Heaton, pero las personas que usan con frecuencia aplicaciones de citas en línea también deberían considerar instalar un archivo. VPN en su teléfono inteligente para evitar un seguimiento en línea no deseado y, en este caso, en el mundo real.
vía Trago diario
“Orgulloso adicto al café. Gamer. Introvertido incondicional. Pionero de las redes sociales”.