Kerentanan dalam aplikasi kencan Bumble mengekspos data lokasi pengguna
Seorang peneliti keamanan menemukan kerentanan di aplikasi kencan populer gagap Itu bisa memungkinkan penyerang untuk menentukan lokasi yang tepat dari pengguna layanan lainnya.
Robert Heaton yang bekerja sebagai insinyur perangkat lunak di perusahaan pembayaran tapeCari tahu kerentanannya di aplikasi kencan Dia kemudian melanjutkan untuk mengembangkan dan menerapkan serangan “tiga cabang” untuk menguji temuannya, yang dia rinci dalam sebuah laporan baru. Postingan blog.
Jika kerentanan yang ditemukan oleh Heaton dieksploitasi oleh penyerang, mereka dapat menggunakan aplikasi dan layanan Bubmle untuk menemukan alamat rumah korban dan juga melacak pergerakan mereka di dunia nyata sampai batas tertentu. Namun, karena Bumble tidak sering memperbarui lokasi penggunanya di aplikasinya, itu tidak akan memberi penyerang umpan langsung dari lokasi korban, hanya ide umum.
Pengguna Bumble tidak perlu khawatir meskipun Heaton melaporkan temuannya ke perusahaan melalui Hackron Kerentanan itu kemudian ditambal hanya tiga hari kemudian. Untuk usahanya, Heaton menerima a bonus bug Nilainya hingga $2000.
Lacak Lokasi Pengguna Bumble
Saat meneliti pelacakan lokasi di Bumble, Heaton membuat skrip otomatis yang mengirimkan serangkaian permintaan ke server perusahaan. Permintaan ini berulang kali mengirimkan “penyerang” sebelum meminta jarak ke korban.
Menurut Heaton, jika seorang penyerang dapat menemukan titik di mana jarak yang dilaporkan dari pengguna Bumble lain berubah dari 3 mil menjadi 4 mil, ia kemudian dapat menyimpulkan bahwa ini adalah titik di mana korbannya berada tepat 3,5 mil jauhnya. Setelah apa yang disebut “titik balik” ditemukan, penyerang kemudian akan memiliki tiga jarak tertentu untuk korbannya sehingga memungkinkan dilakukannya triangulasi yang akurat.
Selain itu, Heaton dapat memalsukan permintaan “swipe up” di aplikasi Bumble pada siapa saja yang juga telah menyatakan minat pada profil tanpa membayar biaya $1,99 dengan menghindari pemeriksaan tanda tangan untuk permintaan API.
Sejak itu, Bumble telah memperbaiki kerentanan yang ditemukan oleh Heaton, tetapi individu yang sering menggunakan aplikasi kencan online juga harus mempertimbangkan untuk menginstal file VPN di ponsel cerdas mereka untuk menghindari pelacakan online yang tidak diinginkan dan dalam hal ini, di dunia nyata.
melalui Tegukan Harian
About The Author
“Pembuat masalah. Perintis web yang rajin. Pemikir. Spesialis musik. Pecandu zombie umum.”