- La comparaison
- Informatique
- Une faille de sécurité dans l'application de rencontres Bumble a exposé les données de localisation de l'utilisateur
Un chercheur en sécurité a découvert une vulnérabilité dans l'application de rencontres populaire Bumble qui aurait pu permettre à un attaquant de localiser avec précision d'autres utilisateurs du service. Robert Heaton, qui travaille comme ingénieur logiciel pour la société de paiement Stripe, a découvert la vulnérabilité de l'application de rencontres, puis a développé et lancé une attaque de "trilatération" pour tester ses découvertes, qu'il a détaillées dans un nouveau billet de blog. Si la vulnérabilité découverte par Heaton devait être exploitée par un attaquant, il pourrait utiliser l'application et le service Bubmle pour découvrir l'adresse personnelle de la victime et, dans une certaine mesure, suivre ses mouvements dans le monde réel. Cependant, comme Bumble ne met pas très souvent à jour l'emplacement de ses utilisateurs dans son application, il ne fournirait pas à un attaquant un flux en direct de l'emplacement d'une victime, juste une idée générale. Cependant, les utilisateurs de Bumble n'ont pas à s'inquiéter, car Heaton a rapporté ses découvertes à l'entreprise via HackerOne, après quoi il a arrêté la vulnérabilité trois jours plus tard. Pour ses efforts, Heaton a reçu une prime de bogue d'un montant de 2,000 XNUMX €.
Suivre l'emplacement d'un utilisateur de Bumble
Au cours de ses recherches sur le suivi de localisation sur Bumble, Heaton a créé un script automatisé qui envoyait un flux de requêtes aux serveurs de l'entreprise. Ces demandes relocalisaient à plusieurs reprises « l'agresseur » avant de demander à s'éloigner de la victime. Selon Heaton, si un attaquant peut trouver le point où la distance signalée par un autre utilisateur de Bumble passe de 3 miles à 4 miles, alors il peut en déduire que c'est le point où sa victime se trouve exactement à 3 miles, 5 miles d'eux. . . Ayant trouvé ces soi-disant "points de basculement", l'attaquant aurait trois distances exactes à sa victime, rendant possible une triangulation précise. De plus, Heaton a réussi à simuler des demandes de « swipe yes » sur l'application Bumble à toute personne ayant également déclaré son intérêt pour un profil sans payer de frais de 1.99 € en contournant les vérifications de signature pour les demandes. API. Desde entonces, Bumble ha solucionado la vulnerabilidad que descubrió Heaton, pero los solteros que usan con frecuencia aplicaciones de citas en línea también deberían considerar instalar una VPN en sus teléfonos inteligentes para evitar el seguimiento no deseado en línea y, en este caso, en el Monde réel. Via la gorgée quotidienne