Hacking Grindr Accounts with Copy and Paste

A szexualitás, a kapcsolatok és az online randizás mind meglehetősen személyes dolgok. Olyan aspektusai az életünknek, amelyeket sokan úgy döntenek, hogy privátnak tartják, vagy legalábbis csak az általunk kiválasztott emberekkel osztják meg. A Grindr “A világ legnagyobb közösségi hálózati alkalmazása meleg, biszexuális, transz és queer emberek számára”, ami sokak számára különösen érzékennyé teszi. Nem csak azért érzékeny, mert az oldal használatával az ember szexuális irányultságára utal, hanem azért is, mert a Grindr célcsoportjába való beilleszkedés néha súlyos következményekkel jár. Például 2014-ben az egyiptomi rendőrségről kiderült, hogy a Grindr segítségével “csapdába ejti a melegeket”, ami különösen aggasztó volt egy olyan országban, amely nem éppen az LMBT-egyenlőség terén van a helyzet magaslatán. Egy másik bizonyíték arra, hogy a Grindr adatai mennyire értékesek, tavaly érkezett, amikor az amerikai kormány úgy ítélte meg, hogy a szolgáltatás kínai tulajdonlása nemzetbiztonsági kockázatot jelent. Röviden, a Grindr adatai nagyon személyesek és elkerülhetetlenül nagyon érzékenyek, több okból is.

A hét elején kaptam egy Twitter DM-et Wassime BOUIMADAGHENE biztonsági kutatótól:

I contact you because i reported a serious security issue to one of the biggest dating applications for gays (Grindr) but the vendor keep ignoring me !I sent them all the technical details but no way. The vulnerability allow an attacker to hijack any account.

Segítséget kért egy szerinte súlyos biztonsági rés feltárásához, és nyilvánvalóan falba ütközött. Kértem technikai részleteket, hogy igazolni tudjam állításának hitelességét, és az információ megfelelően meg is érkezett. A felszínen a dolgok rosszul néztek ki: teljes account takeover egy nagyon triviális támadással. De ellenőrizni akartam a támadást, méghozzá úgy, hogy ne sérüljön senki magánélete, ezért Scott Helme-tól kértem segítséget:

Scott rengeteg ilyen biztonsági problémával foglalkozott a múltban, ráadásul néhány éve a Nissan Leaf nyilvánosságra hozatalánál is segített nekem, és szívesen segített. Mindössze arra volt szükségem, hogy Scott hozzon létre egy fiókot, és közölje velem az általa használt e-mail címet, ami ebben az esetben a [email protected] volt.

A fiók átvétele mind a Grindr jelszó-visszaállítási oldalával kezdődött:

Beírtam Scott címét, megoldottam egy, majd a következő választ kaptam:

Megnyitottam a dev tools-t, mert a válaszban szereplő reset token kulcsfontosságú. Valójában ez a kulcs, és bemásoltam a vágólapra, mielőtt beillesztettem volna a következő URL-be:

Az URL-ben mind a tokent, mind Scott e-mail címét láthatja. Ezt a mintát bárki könnyen megállapíthatja, ha létrehozza saját Grindr-fiókját, majd jelszó-visszaállítást hajt végre, és megnézi a kapott e-mail tartalmát. Amikor betöltöttem ezt az URL-t, új jelszó beállítására és a :

átadására szólítottak fel, és ennyi – a jelszó megváltozott:

Akkor bejelentkeztem a fiókba, de azonnal a következő képernyő jelent meg:

Huh, tehát kell az alkalmazás? Rendben, akkor jelentkezzünk be az alkalmazáson keresztül:

És… Bent vagyok!

Teljes fiókátvétel. Ez azt jelenti, hogy hozzáférhetek mindenhez, amihez az eredeti Grindr-fiók tulajdonosának hozzáférése volt, például a profilképéhez (amit azonnal megváltoztattam egy megfelelőbbre):

Ez idő tájt Scott elkezdett privát üzeneteket kapni, mind személyes találkozóra való felkérést, mind képkérést:

A Luke-kal folytatott beszélgetés elég gyorsan elfajult, és nem tudom itt reprodukálni, de a gondolat, hogy ehhez a párbeszédhez (és ha elküldte volna őket, a képeihez) ismeretlen harmadik fél hozzáférhet, rendkívül aggasztó. Gondoljunk arra is, hogy a Grindr milyen terjedelmű személyes adatokat gyűjt, és ahogy Scott üzenetei esetében, úgy itt is minden kitöltött mező azonnal láthatóvá válna bárki számára, aki hozzáfér a fiókjához pusztán az e-mail címe ismeretében:

Pár évvel ezelőtt az került a címlapokra, amikor kiderült, hogy a Grindr a HIV-státuszt elküldi harmadik félnek, és tekintettel ezen adatok érzékenységére, jogosan. Ez, valamint sok más fenti terület teszi szenzációssá, hogy az adatok olyan triviálisan hozzáférhetőek voltak bárki számára, aki ki tudta használni ezt az egyszerű hibát.

És ami a weboldalt illeti, ahová nem tudtam bejelentkezni anélkül, hogy ne lettem volna visszairányítva a mobilalkalmazásra? Most, hogy bejelentkeztem az alkalmazásba Scott új jelszavával, a későbbi próbálkozások egyszerűen lehetővé tették, hogy magam engedélyezzem a bejelentkezési kérelmet:

És ennyi – a weboldalon is bent vagyok:

Ez az egyik legalapvetőbb fiókátvételi technika, amit valaha láttam. Nem értem, hogy a reset token – aminek egy titkos kulcsnak kellene lennie – miért kerül vissza az anonim módon kiadott kérés választestében. A kihasználás egyszerűsége hihetetlenül alacsony, és a hatás nyilvánvalóan jelentős, így nyilvánvalóan ezt komolyan kell venni…

Viszont ez nem így volt. Az a személy, aki ezt a sebezhetőséget továbbította, megosztotta a csevegési előzményeit a Grindr ügyfélszolgálatával is. Némi ide-oda járkálás után szeptember 24-én megadta a teljes részleteket, amelyek elegendőek voltak ahhoz, hogy könnyen ellenőrizni lehessen a fiók átvételének megközelítését. A Grindr támogatási képviselője kijelentette, hogy “eszkalálta az ügyet a fejlesztőinknek”, és azonnal “megoldottnak” jelölte a jegyet. A kapcsolatom másnap utánajárt, és állapotfrissítést kért, de csak… tücsköket kapott. A következő napon megpróbált kapcsolatba lépni a súgó/támogatási e-mail címekkel is, és miután 5 napig várakozott és nem kapott választ, kapcsolatba lépett velem. Megosztott egy képernyőfotót is arról, ahogyan a Twitter DM-en keresztül próbálta elérni a Grindr-t, ami a sebezhetőség bejelentésére tett többi kísérlethez hasonlóan süket fülekre talált.

Azért megpróbáltam magam is megtalálni a Grindr biztonsági kapcsolattartóját:

Anyone got a security at @Grindr they can connect me to?

– Troy Hunt (@troyhunt) October 1, 2020

Tudatában vagyok annak, hogy egy ilyen tweet elküldése kiváltja az összes olyan reakciót, ami elkerülhetetlenül követte, és azt sugallja, hogy valami kibernetikai probléma van a Grindrrel. Csak akkor tweetelek nyilvánosan, ha a privát kapcsolatfelvételre irányuló ésszerű próbálkozások kudarcot vallanak, és az előző bekezdés alapján ezek a próbálkozások több mint ésszerűek voltak. Egy barátom valóban DM’d nekem a Twitteren, és a következőket javasolta:

Nem biztos, hogy a Grindr tweet szükséges volt, mivel a DM-jeik nyitva vannak, és viszonylag hamar elértek téged

Ezért nem DM-eztem őket:

Ezt az utat megpróbáltam, de nem sikerült, és azt javaslom, hogy a Twitter fiókjuk csak azért válaszolt nyilvánosan nekem, mert a tweetem nagy érdeklődést keltett.

Miután a tweetem kikerült. Több ember azonnal megkeresett, és megadta a biztonsági csapatuk elérhetőségét. Továbbítottam az eredeti jelentést, és a tweetet követő másfél órán belül a sebezhető erőforrás offline volt. Röviddel ezután a javítással együtt újra elérhetővé vált. A Grindrrel szemben méltányos, hogy a munkát igénylő biztonsági jelentések osztályozása ellenére a válaszuk, miután sikerült kapcsolatba lépnem a megfelelő emberekkel, példaértékű volt. Így válaszoltak, amikor Zack Whittaker infosec újságíró megkereste őket:

Hálásak vagyunk a kutatónak, aki azonosította a sebezhetőséget. A bejelentett problémát kijavítottuk. Szerencsére úgy gondoljuk, hogy még azelőtt kezeltük a problémát, mielőtt azt rosszindulatú felek kihasználhatták volna. A szolgáltatásunk biztonságának javítása iránti elkötelezettségünk részeként együttműködünk egy vezető biztonsági céggel, hogy egyszerűsítsük és javítsuk a biztonsági kutatók számára az ilyen jellegű problémák bejelentésének lehetőségét. Ezenkívül hamarosan bejelentünk egy új hibajuttatási programot, amely további ösztönzőket nyújt a kutatóknak, hogy segítsenek nekünk szolgáltatásunk biztonságának fenntartásában a jövőben.

Összességében ez egy rossz hiba volt, jó eredménnyel: Úgy vélem, hogy pozitív változásokat hajtanak végre a biztonsági jelentések kezelésével kapcsolatban, és természetesen a hibát kijavították. Ó – és Scott szerzett néhány új barátot 😊

Biztonság