Un cercetător în domeniul securității a descoperit o vulnerabilitate în populara aplicație de întâlniri bâlbâi Ar fi putut permite atacatorului să determine locația exactă a altor utilizatori ai serviciului.
Robert Heaton care lucrează ca inginer software la o companie de plăți bandăAflați vulnerabilitatea din aplicație de întâlniri El a continuat apoi să dezvolte și să pună în aplicare un atac „în trei direcții” pentru a-și testa concluziile, pe care le-a detaliat într-un nou raport Postare pe blog.
Dacă vulnerabilitatea descoperită de Heaton este exploatată de un atacator, aceștia pot folosi aplicația și serviciul Bubmle pentru a descoperi adresa de domiciliu a victimelor și, de asemenea, să le urmărească într-o oarecare măsură mișcările în lumea reală. Cu toate acestea, din moment ce Bumble nu își actualizează frecvent locația utilizatorilor în aplicația sa, nu va oferi atacatorului un flux live al locației victimei, doar o idee generală.
Utilizatorii Bumble nu trebuie să se îngrijoreze, deși Heaton a raportat concluziile sale companiei prin intermediul Hackron Vulnerabilitatea a fost apoi reparată doar trei zile mai târziu. Pentru eforturile sale, Heaton a primit un bonus de bug Merită până la 2000 de dolari.
Urmăriți locația unui utilizator Bumble
În timp ce cerceta localizarea la Bumble, Heaton a creat un script automat care trimite o serie de cereri către serverele companiei. Aceste cereri au transmis în mod repetat „atacatorul” înainte de a solicita distanța către victimă.
Potrivit lui Heaton, dacă un atacator poate găsi punctul la care distanța raportată a unui alt utilizator Bumble se întoarce de la 3 mile la 4 mile, el poate deduce apoi că acesta este punctul în care victima sa se află exact la 5,5 mile distanță. După ce sunt găsite așa-numitele „puncte flip”, atacatorul va avea apoi trei distanțe specifice pentru victima sa, făcând posibilă triangularea exactă.
În plus, Heaton a reușit să falsifice cererile de „glisare în sus” din aplicația Bumble pe oricine a declarat, de asemenea, că este interesat de un profil fără să plătească o taxă de 1,99 USD, ocolind verificările de semnătură pentru cererile API.
De atunci, Bumble a remediat vulnerabilitatea descoperită de Heaton, dar persoanele care folosesc frecvent aplicații de întâlniri online ar trebui să ia în considerare și instalarea unui fișier VPN pe smartphone-ul lor pentru a evita urmărirea online nedorită și, în acest caz, în lumea reală.
prin intermediul Daily Swig
„Student. Organizator subtil fermecător. Susținător al muzicii certificat. Scriitor. Făcător de-a lungul vieții. Iubitor de Twitter.”
More Stories
Nintendo nu poate repara Noul tău 3DS deoarece are piese fără piese
Yamaha MT-09 SP este bicicleta perfectă pentru cicliștii solitar
Google Pixel 9 bate peste greutatea sa – channelnews