Une vulnérabilité de sécurité dans l'application de rencontres populaire Bumble a permis aux attaquants de localiser avec précision l'emplacement précis d'autres utilisateurs. Bumble, qui compte plus de 100 millions d'utilisateurs dans le monde, émule la fonctionnalité « glisser vers la droite » de Tinder pour déclarer son intérêt pour des dates potentielles et pour montrer la distance géographique approximative des utilisateurs par rapport aux « correspondances » potentielles. À l'aide de faux profils Bumble, un chercheur en sécurité a conçu et exécuté une attaque de « trilatération » qui a déterminé l'emplacement précis d'une victime imaginaire. En conséquence, Bumble a corrigé une vulnérabilité qui posait un risque de harcèlement si elle n'avait pas été résolue.La cofondatrice de Tinder, Whitney Wolfe, a décidé de créer, en 2014, Bumble, une application de rencontres spécialement conçue pour les femmes. Le but : bouleverser les codes des rencontres « standards ». « Au départ, la mission de Bumble visait à bousculer les règles du dating. Maintenant, nous cherchons à ce que nos membres se connectent avec confiance tant au niveau professionnel qu'amoureux, voire même en matière d'amitié. Nous incitons les femmes à faire le premier pas et ainsi remettre en question des normes que nous jugeons démodées. Grâce à une communauté basée sur le respect et la sympathie, les rencontres en ligne sont aussi simples que sûres ».
Dans cette optique, Bumble propose :
- Bumble Dating : dont le nom est suffisamment suggestif
- Bumble Bizz : « De nouvelles opportunités de carrière s'offrent à vous lorsque vous agrandissez votre réseau professionnel. Sur Bumble Bizz, vous pouvez rencontrer de nouveaux collègues ou encore offrir vos services en tant que mentor ».
- Bumble BFF : « Que vous veniez d'arriver en ville ou que vous cherchiez à faire de nouvelles connaissances, Bumble BFF est le meilleur moyen d'agrandir votre cercle d'amis ».
Comme la plupart des applications de rencontres en ligne, Bumble indique à ses utilisateurs à quelle distance ils se trouvent. Cela permet aux utilisateurs de prendre une décision éclairée quant à savoir si un amoureux potentiel vaut la peine d'un trajet en scooter de 5 kilomètres par un sombre mercredi soir, alors qu'il y a l'alternative d'une pizza et de la Casa de Papel sur Netflix qu'ils n'ont pas regardés. S'il est pratique de savoir à peu près à quelle distance un(e) chéri(e) hypothétique se trouve de nous, il est important de signaler que Bumble ne révèle pas l'emplacement exact d'un utilisateur. Cela pourrait permettre à un attaquant de déduire où habite l'utilisateur, où il se trouve actuellement, etc.
Robert Heaton, ingénieur logiciel chez le processeur de paiement Stripe, a découvert une vulnérabilité dans l'application de rencontres Bumble qui pourrait être utilisée pour discerner l'emplacement exact des utilisateurs, mettant potentiellement les utilisateurs en danger.
En apprenant comment fonctionne l'interface de programmation d'applications (API) de Bumble, l'ingénieur logiciel Robert Heaton a trouvé un moyen de localiser l'emplacement exact des utilisateurs, en contournant les protections de l'application conçues pour empêcher cela.
Heaton a utilisé deux faux profils Bumble, un pour l'attaquant et un pour la victime.
Il a pu contourner les contrôles de signature pour les demandes d'API, ce qui lui a permis de contourner le paywall de Bumble.
La possibilité d'envoyer des requêtes arbitraires à l'API de Bumble a permis à Heaton de déterminer comment l'application calculait et présentait les emplacements approximatifs correspondants des utilisateurs en arrondissant la distance exacte les unes par rapport aux autres.
Avec ces informations, Heaton a pu concevoir une attaque de trilatération, qui, de la même manière que la triangulation, révélerait l'emplacement de l'utilisateur victime de Bumble.
Le script
Dans le cadre de ses recherches, Heaton a développé un script automatisé qui a envoyé une séquence de requêtes aux serveurs Bumble qui ont relocalisé à plusieurs reprises « l'attaquant » avant de demander la distance à la victime.
« Si un attaquant (c'est-à-dire nous) peut trouver le point auquel la distance signalée à un utilisateur passe de, disons, 3 miles à 4 miles, l'attaquant peut en déduire que c'est le point auquel sa victime est exactement à 3,5 miles d'eux », explique-t-il dans un article de blog qui évoquait un scénario fictif pour démontrer comment une attaque pourrait se dérouler dans le monde réel.
Par exemple, « ,49999 milles peuvent être arrondis à 3 milles, 3,50000 arrondis à 4 », a-t-il ajouté.
Une fois que l'attaquant trouve trois « points de retournement » (flipping point), il dispose des trois distances exactes nécessaires à sa victime pour exécuter une trilatération précise.
Cependant, plutôt que d'arrondir vers le haut ou vers le bas, il s'est avéré que Bumble arrondissait toujours les distances vers le bas.
« Cette découverte n'interrompt pas l'attaque », a déclaré Heaton. « Cela signifie simplement que vous devez modifier votre script pour noter que le point auquel la distance passe de 3 miles à 4 miles est le point auquel la victime se trouve exactement à 4,0 miles, et non à 3,5 miles ».
Heaton a également pu contourner le paywall sur la fonctionnalité « Swipe yes », qui permet de voir toute personne qui a déclaré avoir un intérêt pour un profil, et n'a pas payé les frais de 1,99 $. Le hacking reposait sur le contournement des contrôles de signature pour les demandes d'API.
Trilatération et Tinder
Les recherches de Heaton se sont appuyées sur une vulnérabilité de trilatération similaire découverte dans Tinder en 2013 par Max Veytsman, que Heaton a examinée parmi d'autres vulnérabilités de fuite de localisation dans Tinder dans un précédent billet de blog.
Tinder, qui envoyait jusqu'ici les distances d'utilisateur à utilisateur à l'application avec une précision de 15 décimales, a corrigé cette vulnérabilité en calculant et en arrondissant les distances sur leurs serveurs avant de transmettre des valeurs entièrement arrondies à l'application.
Bumble semble avoir imité cette approche, a déclaré Heaton, qui n'a néanmoins pas réussi à contrecarrer son attaque précise de trilatération.
Des vulnérabilités similaires dans les applications de rencontres ont également été divulguées par des chercheurs de Synack en 2015, la différence subtile étant que leurs attaques de « triangulation » impliquaient l'utilisation de la trigonométrie pour déterminer les distances.
Vulnérabilité corrigée en 72 heures
Heaton a signalé la vulnérabilité à Bumble via le site de bug bounty HackerOne.
Un correctif a été déployé dans les 72 heures et Heaton a reçu 2 000 $ US, qu'il a donnés à une œuvre caritative Against Malaria Foundation.
En particulier, il a félicité Bumble pour avoir ajouté des contrôles supplémentaires « qui vous empêchent de faire correspondre ou de visualiser les utilisateurs qui ne sont pas dans votre file d'attente de correspondance » comme « un moyen astucieux de réduire l'impact des vulnérabilités futures ».
Dans son rapport de vulnérabilité, Heaton a également recommandé à Bumble d'arrondir les emplacements des utilisateurs au 0,1 degré de longitude et de latitude le plus proche avant de calculer les distances entre ces deux emplacements arrondis et d'arrondir le résultat au mile le plus proche.
« Il n'y aurait aucun moyen qu'une future vulnérabilité puisse exposer l'emplacement exact d'un utilisateur via la trilatération, car les calculs de distance n'auront même accès à aucun emplacement exact », a-t-il expliqué.
Toutefois, il a noté que c'est la deuxième vulnérabilité sérieuse de Bumble ces derniers temps.
En novembre de l'année dernière, des chercheurs d'Independent Security Evaluators ont découvert qu'il était non seulement possible d'éviter de payer pour les fonctionnalités premium de Bumble Boost, mais également de vider toutes les informations utilisateur de l'application de rencontres, y compris les images.
Bumble compte environ 100 millions d'utilisateurs dans le monde et a été créé par la cofondatrice de Tinder, Whitney Wolfe Herd, et le fondateur du réseau social Badoo, Andrey Andreev.
Source : Robert Heaton