Saltar al contenido
computerg

馃 Un Agujero De Seguridad En La Aplicaci贸n De Citas Bumble Expuso Los Datos De Ubicaci贸n Del Usuario

agosto 27, 2021

Un investigador de seguridad descubri贸 una vulnerabilidad en la popular aplicaci贸n de citas Bumble que podr铆a haber permitido a un atacante localizar con precisi贸n a otros usuarios del servicio.

Robert Heaton, que trabaja como ingeniero de software para la compa帽铆a de pagos Stripe, descubri贸 la vulnerabilidad de la aplicaci贸n de citas, luego desarroll贸 y ejecut贸 un ataque de 芦trilateraci贸n禄 para probar sus hallazgos, que detall贸 en una nueva publicaci贸n de blog.

Si la vulnerabilidad descubierta por Heaton fuera a ser explotada por un atacante, podr铆a usar la aplicaci贸n y el servicio de Bubmle para descubrir la direcci贸n de la casa de la v铆ctima y, hasta cierto punto, rastrear sus movimientos en el mundo real. Sin embargo, debido a que Bumble no actualiza la ubicaci贸n de sus usuarios en su aplicaci贸n con mucha frecuencia, no proporcionar铆a a un atacante una transmisi贸n en vivo de la ubicaci贸n de una v铆ctima, solo una idea general.

Sin embargo, los usuarios de Bumble no deben preocuparse, ya que Heaton inform贸 sus hallazgos a la compa帽铆a a trav茅s de HackerOne, luego de lo cual par贸 la vulnerabilidad tres d铆as despu茅s. Por sus esfuerzos, Heaton recibi贸 una recompensa por errores por un monto de 鈧 2,000.

Seguimiento de la ubicaci贸n de un usuario de Bumble

Durante su investigaci贸n sobre el seguimiento de la ubicaci贸n en Bumble, Heaton cre贸 un script automatizado que envi贸 una secuencia de solicitudes a los servidores de la empresa. Estas solicitudes reubicaron repetidamente al 芦agresor禄 antes de pedir distancia de la v铆ctima.

Seg煤n Heaton, si un atacante puede encontrar el punto en el que la distancia reportada por otro usuario de Bumble cae de 3 millas a 4 millas, entonces puede deducir que este es el punto en el que su v铆ctima est谩 exactamente a 3 millas de distancia., 5 millas de ellos. . Habiendo encontrado estos llamados 芦puntos de inflexi贸n禄, el atacante tendr铆a tres distancias exactas a su v铆ctima, lo que har铆a posible una triangulaci贸n precisa.

Adem谩s, Heaton ha falsificado con 茅xito las solicitudes de 芦deslizar s铆禄 en la aplicaci贸n Bumble a cualquier persona que tambi茅n haya declarado inter茅s en un perfil sin pagar una tarifa de 鈧 1.99 al omitir los controles de firma para las solicitudes. API.

Desde entonces, Bumble ha solucionado la vulnerabilidad que descubri贸 Heaton, pero los solteros que usan con frecuencia aplicaciones de citas en l铆nea tambi茅n deber铆an considerar instalar una VPN en sus tel茅fonos inteligentes para evitar el seguimiento no deseado en l铆nea y, en este caso, en el mundo real.

A trav茅s de The Daily Swig


Source link