Hakkerointi Grindr-tilien kopioimalla ja liittämällä

Seksuaalisuus, ihmissuhteet ja nettideittailu ovat kaikki melko henkilökohtaisia asioita. Ne ovat elämämme osa-alueita, jotka monet ihmiset haluavat pitää yksityisinä tai ainakin jakaa vain haluamiemme ihmisten kanssa. Grindr on ”The World’s Largest Social Networking App for Gay, Bi, Trans, and Queer People”, mikä tekee siitä monille erityisen arkaluonteisen. Se ei ole arkaluonteinen vain siksi, että sivuston käyttö viittaa seksuaaliseen suuntautumiseen, vaan myös siksi, että Grindrin kohderyhmään kuulumisella voi olla joskus vakavia seurauksia. Esimerkiksi vuonna 2014 Egyptin poliisin havaittiin käyttävän Grindriä ”homojen pyydystämiseen”, mikä oli erityisen huolestuttavaa maassa, joka ei ole aivan ajan tasalla LGBT-tasa-arvon suhteen. Toinen osoitus siitä, miten arvokkaita Grindr-tiedot ovat, tuli viime vuonna, kun Yhdysvaltain hallitus katsoi, että palvelun kiinalainen omistus muodosti kansallisen turvallisuusriskin. Lyhyesti sanottuna Grindr-tiedot ovat hyvin henkilökohtaisia ja väistämättä hyvin arkaluonteisia monista syistä.

Aiemmin tällä viikolla sain Twitterin DM:n tietoturvatutkija Wassime BOUIMADAGHENE:

I contact you because i reported a serious security issue to one of the biggest dating applications for gays (Grindr) but the vendor keep ignoring me !I sent them all the technical details but no way. The vulnerability allow an attacker to hijack any account.

Hän halusi apua paljastaakseen vakavan tietoturva-aukon, jonka hän uskoi olevan vakava tietoturva-aukko, ja selvästikin hän törmäsi tiiliseinään. Pyysin teknisiä yksityiskohtia, jotta voisin vahvistaa hänen väitteensä aitouden, ja tiedot saapuivat asianmukaisesti. Päällisin puolin asiat näyttivät pahalta: täydellinen tilin haltuunotto hyvin triviaalilla hyökkäyksellä. Halusin kuitenkin todentaa hyökkäyksen ja tehdä sen loukkaamatta kenenkään yksityisyyttä, joten pyysin Scott Helmeä tukemaan minua:

Scott on käsitellyt paljon tämänkaltaisia tietoturvaongelmia aiemminkin, minkä lisäksi hän auttoi minua Nissan Leafin paljastuksen kanssa muutama vuosi sitten ja auttoi mielellään. Tarvitsin vain sen, että Scott loi tilin ja kertoi minulle käyttämänsä sähköpostiosoitteen, joka tässä tapauksessa oli [email protected].

Tilin haltuunotto alkoi Grindrin salasanan palautussivulla:

Syötin Scottin osoitteen, ratkaisin a ja sain sen jälkeen seuraavan vastauksen:

Avasin dev-työkalut auki, koska vastauksessa oleva reset-token on avain. Itse asiassa se on avain, ja kopioin sen leikepöydälle ennen kuin liitin sen seuraavaan URL-osoitteeseen:

Tässä URL-osoitteessa näkyy sekä merkki että Scottin sähköpostiosoite. Kenen tahansa on helppo selvittää tämä kuvio luomalla oma Grindr-tili, suorittamalla sitten salasanan palautus ja tarkastelemalla saamansa sähköpostin sisältöä. Kun latasin tuon URL-osoitteen, minua kehotettiin asettamaan uusi salasana ja välittämään :

Ja se siitä – salasana oli vaihdettu:

Silloin kirjauduin sisään tilille, mutta minulle esiteltiin heti seuraava ruutu:

Huh, tarvitset siis sovellusta? Hyvä on sitten, kirjaudutaan sovelluksen kautta:

Ja… Olen mukana!

Tilin täydellinen haltuunotto. Se tarkoittaa pääsyä kaikkeen, mihin alkuperäisellä Grindr-tilin haltijalla oli pääsy, esimerkiksi hänen profiilikuvaansa (jonka vaihdoin heti sopivampaan):

Tänään Scott alkoi saada yksityisviestejä, sekä pyyntöjä tavata henkilökohtaisesti että pyyntöjä kuvista:

Keskustelu Luken kanssa meni melko nopeasti alamäkeen, enkä voi toistaa sitä tässä, mutta ajatus siitä, että tuntemattomat kolmannet osapuolet pääsisivät käsiksi tuohon keskusteluun (ja jos hän olisi lähettänyt ne, hänen kuviinsa), on äärimmäisen huolestuttava. Miettikää myös Grindrin keräämien henkilökohtaisten tietojen laajuutta, ja kuten Scottin viestien kohdalla, kaikki täytetyt kentät tässä olisivat välittömästi kaikkien niiden nähtävillä, jotka pääsisivät hänen tililleen yksinkertaisesti tietämällä hänen sähköpostiosoitteensa:

Pari vuotta sitten se nousi otsikoihin, kun Grindrin havaittiin lähettävän HIV-statusta kolmansille osapuolille, ja kun otetaan huomioon näiden tietojen arkaluontoisuus, syystäkin. Tämä, yhdessä monien muiden edellä mainittujen alojen kanssa, tekee siitä niin sensaatiomaisen, että tiedot olivat niin triviaalisti kenen tahansa saatavilla, joka pystyi käyttämään tätä yksinkertaista virhettä hyväkseen.

Ja mitä tulee verkkosivustoon, jolle en voinut kirjautua ilman, että minut ohjattiin takaisin mobiilisovellukseen? Nyt kun olin kirjautunut sovellukseen Scottin uudella salasanalla, seuraavilla yrityksillä sain yksinkertaisesti valtuuttaa kirjautumispyynnön itse:

Ja se siitä – olen mukana myös verkkosivustolla:

Tämä on yksi yksinkertaisimmista tilien haltuunottotekniikoista, joita olen nähnyt. En voi käsittää, miksi reset token – jonka pitäisi olla salainen avain – palautetaan anonyymisti tehdyn pyynnön vastausrungossa. Hyödyntämisen helppous on uskomattoman vähäistä ja vaikutus on ilmeisen merkittävä, joten tämä on selvästikin jotain, joka on syytä ottaa vakavasti…

Periaatteessa se ei ollut. Henkilö, joka välitti tämän haavoittuvuuden eteenpäin, jakoi myös keskusteluhistoriansa Grindrin tuen kanssa. Joidenkin edestakaisten puheiden jälkeen hän antoi täydelliset tiedot, jotka riittivät helposti todentamaan tilin haltuunoton lähestymistavan 24. syyskuuta. Grindrin tukihenkilö totesi, että hän oli ”siirtänyt asian kehittäjillemme” ja merkitsi tiketin välittömästi ”ratkaistuksi”. Yhteyshenkilöni otti yhteyttä seuraavana päivänä ja pyysi tilapäivitystä, ja sai… sirkkoja. Seuraavana päivänä hän yritti ottaa yhteyttä myös apu-/tukisähköpostiosoitteisiin, ja kun hän oli odottanut 5 päivää eikä saanut vastausta, hän otti minuun yhteyttä. Hän jakoi myös kuvakaappauksen yrityksestään tavoittaa Grindr Twitterin DM:n kautta, joka, kuten muutkin yritykset ilmoittaa haavoittuvuudesta, kaatui kuuroille korville.

Yritin siis itse löytää Grindrin tietoturvayhteyshenkilön:

Anyone got a security at @Grindr they can connect me to?

– Troy Hunt (@troyhunt) October 1, 2020

Olen tietoinen siitä, että tuollaisen twiitin lähettäminen herättää kaikenlaisia vastauksia, jotka väistämättä seurasivat sitä ja vihjaavat, että Grindrissä on jotakin kybertoimintaa. Twiittaan julkisesti vasta, kun kohtuulliset yritykset ottaa yhteyttä yksityisesti epäonnistuvat, ja edellisen kappaleen perusteella nuo yritykset olivat enemmän kuin kohtuullisia. Eräs ystäväni itse asiassa DM:ää minulle Twitterissä ja ehdotti seuraavaa:

En ole varma, oliko tuo Grindr-twiitti tarpeellinen, kun otetaan huomioon, että heidän DM:nsä ovat avoinna ja he ottivat sinuun yhteyttä melko pian sen jälkeen

Sentähden en DM:ää heille:

Tätä reittiä kokeiltiin ja se epäonnistui, ja oletan, että ainoa syy, jonka vuoksi heidän Twitter-tilinsä julkisesti vastasi minulle, oli se, miksi twiittejäni herätti paljon kiinnostusta.

Kun twiittini lähti liikkeelle. Useat ihmiset ottivat välittömästi yhteyttä ja antoivat minulle yhteystietoja heidän turvallisuustiimiinsä. Välitin alkuperäisen raportin eteenpäin, ja noin puolentoista tunnin sisällä twiitistä haavoittuva resurssi oli offline. Pian sen jälkeen se palautui ja siihen tuli korjaus. Rehellisyyden nimissä Grindrille on todettava, että huolimatta siitä, että he luokittelevat työtä vaativat tietoturvaraportit, heidän vastauksensa sen jälkeen, kun sain yhteyden oikeisiin ihmisiin, oli esimerkillinen. Näin he vastasivat, kun tietoturvatoimittaja Zack Whittaker lähestyi heitä:

Olemme kiitollisia tutkijalle, joka havaitsi haavoittuvuuden. Raportoitu ongelma on korjattu. Onneksi uskomme, että korjasimme ongelman ennen kuin pahantahtoiset tahot käyttivät sitä hyväkseen. Osana sitoutumistamme palvelumme turvallisuuden parantamiseen teemme yhteistyötä johtavan tietoturvayhtiön kanssa yksinkertaistaaksemme ja parantaaksemme tietoturvatutkijoiden mahdollisuuksia raportoida tällaisista ongelmista. Lisäksi ilmoitamme pian uudesta bugipalkkio-ohjelmasta, joka tarjoaa tutkijoille lisäkannustimia auttaa meitä pitämään palvelumme turvallisena jatkossa.

Kaiken kaikkiaan tämä oli paha bugi, jolla oli hyvä lopputulos: Uskon, että he ovat tekemässä positiivisia muutoksia tietoturvaraporttien käsittelyyn, ja tietysti bugi on korjattu. Niin – ja Scott sai uusia ystäviä 😊

Tietoturva