Un agujero de seguridad en la aplicación de citas Bumble expuso los datos de ubicación del usuario
Un investigador de seguridad descubrió una vulnerabilidad en la popular aplicación de citas andar de forma vacilante que podría haber permitido a un atacante identificar la ubicación precisa de otros usuarios del servicio.
Robert Heaton, que trabaja como ingeniero de software en la empresa de pagos Raya, descubrió la vulnerabilidad en el aplicación de citas y luego comenzó a desarrollar y ejecutar un ataque de ‘trilateración’ para probar sus hallazgos, que detalló en un nuevo entrada en el blog.
Si la vulnerabilidad descubierta por Heaton fuera explotada por un atacante, podría usar la aplicación y el servicio de Bumble para descubrir la dirección de la casa de una víctima, así como rastrear sus movimientos en el mundo real hasta cierto punto. Sin embargo, debido a que Bumble no actualiza la ubicación de sus usuarios con tanta frecuencia en su aplicación, no proporcionaría a un atacante una transmisión en vivo de la ubicación de la víctima, solo una idea general.
Los usuarios de Bumble no deben preocuparse, ya que Heaton informó sus hallazgos a la empresa a través de hacker después de eso, corrigió la vulnerabilidad solo tres días después. Por sus esfuerzos, Heaton recibió una recompensa de errores Ordene el pago de $ 2,000.
Seguimiento de la ubicación de un usuario de Bumble
Durante su investigación sobre el seguimiento de la ubicación en Bumble, Heaton creó un script automatizado que envió una secuencia de solicitudes a los servidores de la empresa. Estas solicitudes reubicaron repetidamente al ‘atacante’ antes de pedir distancia a la víctima.
Según Heaton, si un intruso puede encontrar el punto donde la distancia reportada por otro usuario de Bumble cambia de 3 a 4 millas, puede inferir que este es el punto donde la víctima está exactamente a 3,5 millas de distancia. Después de encontrar estos llamados «puntos de inversión», el atacante tendría tres distancias exactas a su víctima, lo que haría posible una triangulación precisa.
Además, Heaton ha logrado falsificar las solicitudes de ‘deslizamiento simbólico’ en la aplicación Bumble para cualquiera que también haya declarado interés en un perfil sin pagar una tarifa de $ 1.99, sin pasar por las comprobaciones de firma para las solicitudes de API.
Desde entonces, Bumble ha solucionado la vulnerabilidad descubierta por Heaton, pero las personas solteras que a menudo usan aplicaciones de citas en línea también deberían considerar instalar una. VPN en sus teléfonos inteligentes para evitar un seguimiento no deseado en línea y, en este caso, en el mundo real.
A través de la El trago diario
