Kako sam hakirao Tinder račune pomoću Facebookovog kompleta računa i zaradio 6.250 dolara u blagodatima

Ovo se objavljuje uz dopuštenje Facebooka u skladu s odgovornom politikom otkrivanja.

Inženjerski timovi Facebooka i Tindera brzo su uklonili ranjivosti spomenute u ovom blogu.

Ovaj post govori o ranjivosti preuzimanja računa koju sam otkrio u Tinder-ovoj aplikaciji. Iskorištavajući ovo, napadač je mogao dobiti pristup žrtvinom Tinder računu, koji je za prijavu morao koristiti svoj telefonski broj.

To se moglo iskoristiti kroz ranjivost u Facebookovom kompletu računa, kojem se Facebook nedavno obratio.

I Tinder-ove web i mobilne aplikacije omogućuju korisnicima upotrebu brojeva mobitela za prijavu na uslugu. A ovu uslugu prijave pruža Account Kit (Facebook).

Korisnik klikne na Login with Phone Number na tinder.com, a zatim je preusmjeren na Accountkit.com za prijavu. Ako je provjera autentičnosti uspješna, tada Account Kit prosljeđuje pristupni token tvrtki Tinder za prijavu.

Zanimljivo je da Tinder API nije provjeravao ID klijenta na tokenu koji je pružio Account Kit.

To je omogućilo napadaču da koristi bilo koji pristupni token druge aplikacije koji je pružio Account Kit za preuzimanje stvarnih Tinder računa drugih korisnika.

Opis ranjivosti

Account Kit proizvod je Facebooka koji omogućuje ljudima da se brzo registriraju i prijave na neke registrirane aplikacije koristeći samo njihove telefonske brojeve ili adrese e-pošte bez potrebe za lozinkom. Pouzdan je, jednostavan za upotrebu i daje korisniku mogućnost izbora kako se želi prijaviti za aplikacije.

Tinder je mobilna aplikacija zasnovana na lokaciji za traženje i upoznavanje novih ljudi. Omogućuje korisnicima da vole ili ne vole druge korisnike, a zatim nastavljaju chat ako su obje strane prešle udesno.

U Account Kit-u postojala je ranjivost putem koje je napadač mogao dobiti pristup bilo kojem korisničkom Account Kit računu samo pomoću svog telefonskog broja. Jednom ulazeći, napadač je mogao dobiti pristupni token korisničkog računa za pristup računu koji se nalazi u njihovim kolačićima (aks).

Nakon toga, napadač bi mogao koristiti pristupni token (aks) za prijavu na korisnički račun Tinder koristeći ranjivi API.

Kako je moj exploit funkcionirao korak po korak

Korak 1

Prvo bi se napadač prijavio na račun računa žrtvinog računa unosom žrtvinog telefonskog broja u " new_phone_number " u API zahtjevu prikazanom dolje.

Napominjemo da Account Kit nije provjeravao mapiranje telefonskih brojeva pomoću njihove jednokratne lozinke. Napadač je mogao unijeti bilo čiji telefonski broj, a zatim se jednostavno prijaviti na račun računa žrtve.

Tada bi napadač mogao kopirati žrtvin "aks" pristupni token aplikacije Account Kit iz kolačića.

API za ranjivi račun:

POST / update / async / phone / confirm /? Dpr = 2 HTTP / 1.1 Host: www.accountkit.com new_phone_number = [vctimov telefonski broj] & update_request_code = c1fb2e919bb33a076a7c6fe4a9fbfa97 [kod zahtjeva za napadača] & potvrda_za korisnika = 258822 & ______ napadača = 0 1 & __ dyn = & __ req = 6 & __ be = -1 & __ pc = FAZIRANO% 3ADEFAULT & __ rev = 3496767 & fb_dtsg = & jazoest =

Korak 2

Sada napadač jednostavno ponavlja sljedeći zahtjev koristeći kopirani pristupni token "aks" žrtve u Tinder API ispod.

Oni će biti prijavljeni na Tinder račun žrtve. Tada bi napadač u osnovi imao potpunu kontrolu nad računom žrtve. Mogli su između ostalog čitati privatne razgovore, potpune osobne podatke i prevlačiti profile drugih korisnika ulijevo ili udesno.

API za ranjivi tinder:

POST / v2 / auth / login / accountkit? Locale = hr HTTP / 1.1

Voditelj: api.gotinder.com

Veza: blizu

Duljina sadržaja: 185

Podrijetlo: //tinder.com

verzija aplikacije: 1000000

platforma: web

Korisnički agent: Mozilla / 5.0 (Macintosh)

vrsta sadržaja: application / json

Prihvati: * / *

Referer: //tinder.com/

Prihvati-kodiraj: gzip, deflate

Prihvati-jezik: en-US, en; q = 0,9

{"Token": "xxx", "id": ""}

Video dokaz koncepta

Vremenska Crta

Obje su ranjivosti brzo uklonili Tinder i Facebook. Facebook me nagradio s 5.000 američkih dolara, a Tinder s 1.250 američkih dolara.

Osnivač sam AppSecure, specijalizirane tvrtke za kibernetsku sigurnost s godinama stečene vještine i pedantnom stručnošću. Ovdje smo da zaštitimo vaše poslovanje i kritične podatke od mrežnih i izvanmrežnih prijetnji ili ranjivosti.

Možete nas kontaktirati na [email protected] ili [email protected]