הדבר מתפרסם באישור פייסבוק במסגרת מדיניות הגילוי האחראי.
הפגיעות שהוזכרו בפוסט בבלוג זה הוסתרו במהירות על ידי צוותי ההנדסה של פייסבוק וטינדר.
פוסט זה עוסק בפגיעות של השתלטות על חשבונות שגיליתי ביישום של טינדר. על ידי ניצול זה, תוקף יכול היה לקבל גישה לחשבון הטינדר של הקורבן, שבוודאי השתמש במספר הטלפון שלו בכניסה.
זה יכול היה להיות מנוצל באמצעות פגיעות בערכת החשבונות של פייסבוק, אליה התייחסה לאחרונה פייסבוק.
יישומי האינטרנט והניידים של טינדר מאפשרים למשתמשים להשתמש במספרי הטלפון הנייד שלהם בכדי להיכנס לשירות. ושירות הכניסה הזה ניתן על ידי Account Kit (פייסבוק).
המשתמש לוחץ על התחברות עם מספר טלפון ב- tinder.com ואז הוא מנותב אל Accountkit.com לצורך התחברות. אם האימות הצליח, חשבון Kit מעביר את אסימון הגישה לטינדר לצורך התחברות.
מעניין ש- API של Tinder לא בדק את מזהה הלקוח באסימון שמספק ערכת החשבון.
זה איפשר לתוקף להשתמש באסימון הגישה של כל אפליקציה אחרת שמספק ערכת Account כדי להשתלט על חשבונות Tinder האמיתיים של משתמשים אחרים.
תיאור פגיעות
ערכת חשבונות היא מוצר של פייסבוק המאפשר לאנשים להירשם במהירות ולהיכנס לחלק מהאפליקציות הרשומות באמצעות מספרי הטלפון או כתובות הדוא"ל שלהם בלבד מבלי להזדקק לסיסמה. זה אמין, קל לשימוש, ונותן למשתמש בחירה לגבי האופן בו הוא רוצה להירשם לאפליקציות.
טינדר היא אפליקציה סלולרית מבוססת מיקום לחיפוש ופגישה עם אנשים חדשים. זה מאפשר למשתמשים לחבב או לא לאהוב משתמשים אחרים ואז להמשיך לצ'אט אם שני הצדדים החליפו ימינה.
קיימת פגיעות בערכת החשבון באמצעותה תוקף יכול היה לקבל גישה לחשבון כל ערכת החשבון של כל משתמש רק באמצעות מספר הטלפון שלו. לאחר שנכנס, התוקף יכול היה להשיג את אסימון הגישה של ערכת החשבון של המשתמש הקיים בקובצי ה- cookie שלהם (aks).
לאחר מכן, התוקף יכול להשתמש באסימון הגישה (aks) בכניסה לחשבון Tinder של המשתמש באמצעות ממשק API פגיע.
איך הנצל שלי עבד שלב אחר שלב
שלב 1
ראשית התוקף ייכנס לחשבון Kit Kit של הקורבן על ידי הזנת מספר הטלפון של הקורבן ב- " new_phone_number " בבקשת ה- API המוצגת למטה.
שים לב ש- Kit Kit לא אימת את מיפוי מספרי הטלפון באמצעות הסיסמה החד פעמית שלהם. התוקף יכול להזין את מספר הטלפון של כל אחד ואז פשוט להיכנס לחשבון Kit Kit של הקורבן.
ואז התוקף יכול להעתיק את אסימון הגישה "aks" של הקורבן לאפליקציית Account Kit מעוגיות.
ממשק ה- API של ערכת החשבון הפגיע:
POST / עדכון / async / טלפון / אשר /? Dpr = 2 HTTP / 1.1 מארח: www.accountkit.com new_phone_number = [מספר הטלפון של vctim] & update_request_code = c1fb2e919bb33a076a7c6fe4a9fbfa97 [קוד בקשה של התוקף] & קוד אישור = 258822 [קוד התוקף = 0 = קוד התוקף] & קוד המשתמש =__88 1 & __ dyn = & __ req = 6 & __ be = -1 & __ pc = PHASED% 3ADEFAULT & __ rev = 3496767 & fb_dtsg = & jazoest =
שלב 2
כעת התוקף פשוט משחזר את הבקשה הבאה באמצעות אסימון הגישה המועתק "aks" של הקורבן לממשק ה- API של Tinder למטה.
הם ייכנסו לחשבון טינדר של הקורבן. התוקף היה אז בעצם בעל שליטה מלאה בחשבון הקורבן. הם יכלו לקרוא צ'אטים פרטיים, מידע אישי מלא ולהחליק בין פרופילי משתמש אחר שמאלה או ימינה, בין היתר.
ממשק API של Tinder פגיע:
POST / v2 / auth / login / accountkit? Locale = en HTTP / 1.1מארח: api.gotinder.com
חיבור: סגור
אורך תוכן: 185
מקור: //tinder.com
גרסת אפליקציה: 1000000
פלטפורמה: אינטרנט
User-Agent: Mozilla / 5.0 (Macintosh)
סוג תוכן: יישום / json
קבל: * / *
מפנה: //tinder.com/
קבל קידוד: gzip, ניפוח
קבל שפה: en-US, en; q = 0.9
{"אסימון": "xxx", "id": ""}
הוכחת וידאו למושג
ציר זמן
שתי הפגיעות תוקנו במהירות על ידי טינדר ופייסבוק. פייסבוק גמלה לי 5,000 דולר, וטינדר העניקה לי 1,250 דולר.
אני המייסד של AppSecure, חברת אבטחת סייבר מתמחה עם שנים של מיומנות נרכשת ומומחיות מוקפדת. אנו כאן כדי להגן על הנתונים העסקיים והקריטיים שלך מפני איומים או פגיעות מקוונות ולא מקוונות.
ניתן ליצור איתנו קשר בכתובת [email protected] או [email protected]