Esto se publica con el permiso de Facebook bajo la política de divulgación responsable.
Las vulnerabilidades mencionadas en esta publicación de blog fueron resueltas rápidamente por los equipos de ingeniería de Facebook y Tinder.
Esta publicación trata sobre una vulnerabilidad de adquisición de cuenta que descubrí en la aplicación de Tinder. Al explotar esto, un atacante podría haber obtenido acceso a la cuenta de Tinder de la víctima, que debe haber usado su número de teléfono para iniciar sesión.
Esto podría haberse aprovechado a través de una vulnerabilidad en el kit de cuenta de Facebook, que Facebook ha abordado recientemente.
Tanto las aplicaciones web como móviles de Tinder permiten a los usuarios utilizar sus números de teléfono móvil para iniciar sesión en el servicio. Y este servicio de inicio de sesión es proporcionado por Account Kit (Facebook).
El usuario hace clic en Iniciar sesión con número de teléfono en tinder.com y luego se le redirige a Accountkit.com para iniciar sesión. Si la autenticación es exitosa, Account Kit pasa el token de acceso a Tinder para iniciar sesión.
Curiosamente, la API de Tinder no verificaba la identificación del cliente en el token proporcionado por el kit de cuenta.
Esto permitió al atacante usar el token de acceso de cualquier otra aplicación proporcionado por Account Kit para hacerse cargo de las cuentas reales de Tinder de otros usuarios.
Descripción de la vulnerabilidad
Account Kit es un producto de Facebook que permite a las personas registrarse e iniciar sesión rápidamente en algunas aplicaciones registradas utilizando solo sus números de teléfono o direcciones de correo electrónico sin necesidad de una contraseña. Es confiable, fácil de usar y le brinda al usuario la opción de elegir cómo desea registrarse en las aplicaciones.
Tinder es una aplicación móvil basada en la ubicación para buscar y conocer gente nueva. Permite a los usuarios agradar o desagradar a otros usuarios, y luego continuar con un chat si ambas partes se deslizaron hacia la derecha.
Hubo una vulnerabilidad en el kit de cuentas a través de la cual un atacante podría haber obtenido acceso a la cuenta del kit de cuentas de cualquier usuario simplemente usando su número de teléfono. Una vez dentro, el atacante podría haber obtenido el token de acceso del kit de cuenta del usuario presente en sus cookies (aks).
Después de eso, el atacante podría usar el token de acceso (aks) para iniciar sesión en la cuenta de Tinder del usuario usando una API vulnerable.
Cómo funcionó mi exploit paso a paso
Paso 1
Primero, el atacante iniciaría sesión en la cuenta del kit de cuenta de la víctima ingresando el número de teléfono de la víctima en " new_phone_number " en la solicitud de API que se muestra a continuación.
Tenga en cuenta que Account Kit no verificaba la asignación de los números de teléfono con su contraseña de un solo uso. El atacante podría ingresar el número de teléfono de cualquier persona y luego simplemente iniciar sesión en la cuenta del kit de cuenta de la víctima.
Luego, el atacante podría copiar el token de acceso "aks" de la víctima de la aplicación Account Kit de las cookies.
La API del kit de cuenta vulnerable:
POST / update / async / phone / confirm /? Dpr = 2 HTTP / 1.1 Host: www.accountkit.com new_phone_number = [número de teléfono de vctim] & update_request_code = c1fb2e919bb33a076a7c6fe4a9fbfa97 [código de solicitud del atacante] y código de confirmación = 258822 y __ código de usuario del atacante = 1 & __ dyn = & __ req = 6 & __ be = -1 & __ pc = PHASED% 3ADEFAULT & __ rev = 3496767 & fb_dtsg = & jazoest =
Paso 2
Ahora el atacante simplemente reproduce la siguiente solicitud utilizando el token de acceso copiado "aks" de la víctima en la API de Tinder a continuación.
Se iniciarán sesión en la cuenta de Tinder de la víctima. El atacante básicamente tendría entonces control total sobre la cuenta de la víctima. Podían leer chats privados, información personal completa y deslizar los perfiles de otros usuarios hacia la izquierda o hacia la derecha, entre otras cosas.
API de Tinder vulnerable:
POST / v2 / auth / login / accountkit? Locale = es HTTP / 1.1Anfitrión: api.gotinder.com
Conexión: cerrar
Longitud del contenido: 185
Origen: //tinder.com
versión de la aplicación: 1000000
plataforma: web
Usuario-Agente: Mozilla / 5.0 (Macintosh)
tipo de contenido: aplicación / json
Aceptar: * / *
Referer: //tinder.com/
Aceptar codificación: gzip, desinflar
Aceptar-Idioma: en-US, en; q = 0.9
{"Token": "xxx", "id": ""}
Prueba de concepto en video
Cronología
Tinder y Facebook solucionaron rápidamente ambas vulnerabilidades. Facebook me recompensó con $ 5,000 y Tinder me otorgó $ 1,250.
Soy el fundador de AppSecure, una empresa especializada en ciberseguridad con años de experiencia adquirida y meticulosa experiencia. Estamos aquí para proteger su negocio y sus datos críticos de amenazas o vulnerabilidades en línea y fuera de línea.
Puede contactarnos en [email protected] o [email protected].