Hacking Grindr Accounts with Copy and Paste

Sexualitatea, relațiile și întâlnirile online sunt lucruri destul de personale. Sunt aspecte ale vieții noastre pe care mulți oameni aleg să le păstreze private sau, cel puțin, să le împărtășească doar cu persoanele pe care le alegem. Grindr este „The World’s Largest World’s Largest Social Networking App for Gay, Bi, Trans, and Queer People” (Cea mai mare aplicație de socializare din lume pentru homosexuali, bi, trans și homosexuali), ceea ce, pentru mulți oameni, o face deosebit de sensibilă. Este sensibil nu doar pentru că utilizarea site-ului implică orientarea sexuală a unei persoane, ci și din cauza ramificațiilor uneori grave ale încadrării în grupul demografic țintă al Grindr. De exemplu, în 2014, s-a constatat că poliția egipteană folosea Grindr pentru a „prinde în capcană persoanele gay”, ceea ce a fost deosebit de îngrijorător într-o țară care nu este tocmai la curent cu egalitatea LGBT. O altă demonstrație a cât de valoroase sunt datele Grindr a venit anul trecut, când guvernul SUA a considerat că proprietatea chineză a serviciului constituie un risc pentru securitatea națională. Pe scurt, datele Grindr sunt foarte personale și, în mod inevitabil, foarte sensibile din mai multe motive.

La începutul acestei săptămâni am primit un DM pe Twitter de la Wassime BOUIMADAGHENE, cercetător în domeniul securității:

I contact you because i reported a serious security issue to one of the biggest dating applications for gays (Grindr) but the vendor keep ignoring me !I sent them all the technical details but no way. The vulnerability allow an attacker to hijack any account.

A vrut ajutor în dezvăluirea a ceea ce el credea că este o vulnerabilitate gravă de securitate și, în mod clar, se lovea de un zid de cărămidă. Am cerut detalii tehnice pentru a putea valida autenticitatea afirmației sale, iar informațiile au sosit în mod corespunzător. La prima vedere, lucrurile arătau rău: preluarea completă a unui cont cu un atac foarte banal. Dar am vrut să verific atacul și să fac acest lucru fără a încălca intimitatea nimănui, așa că i-am cerut sprijinul lui Scott Helme:

Scott s-a ocupat de o mulțime de probleme de securitate de acest gen în trecut, în plus, m-a ajutat și cu dezvăluirea Nissan Leaf acum câțiva ani și a fost bucuros să mă ajute. Tot ce aveam nevoie era ca Scott să-și creeze un cont și să-mi comunice adresa de e-mail pe care o folosea și care, în acest caz, era [email protected].

Preluarea contului totul a început cu pagina de resetare a parolei de pe Grindr:

Am introdus adresa lui Scott, am rezolvat un și apoi am primit următorul răspuns:

Am deschis uneltele de dezvoltare pentru că tokenul de resetare din răspuns este cheia. De fapt, este cheia și am copiat-o în clipboard înainte de a o lipi în următorul URL:

Vă veți vedea atât token-ul cât și adresa de e-mail a lui Scott în acel URL. Este ușor pentru oricine să stabilească acest tipar creându-și propriul cont Grindr, apoi efectuând o resetare a parolei și uitându-se la conținutul e-mailului pe care îl primește. La încărcarea acelui URL, mi s-a cerut să setez o nouă parolă și să transmit :

Și asta e tot – parola a fost schimbată:

Așa că m-am logat în cont, dar mi s-a prezentat imediat următorul ecran:

Huh, deci ai nevoie de aplicație? În regulă atunci, hai să ne logăm prin intermediul aplicației:

Și… Am intrat!

Primirea completă a contului. Ceea ce înseamnă că am acces la tot ceea ce avea acces deținătorul original al contului Grindr, de exemplu, poza de profil (pe care am schimbat-o imediat cu una mai potrivită):

În acest timp, Scott a început să primească mesaje private, atât o cerere de întâlnire personală, cât și o cerere de poze:

Conversația cu Luke a luat-o la vale destul de repede și nu o pot reproduce aici, dar gândul că acel dialog (și, dacă le-ar fi trimis, pozele sale) a fost accesat de terțe părți necunoscute este extrem de îngrijorător. Luați în considerare, de asemenea, amploarea informațiilor personale pe care Grindr le colectează și, la fel ca și în cazul mesajelor lui Scott, orice câmpuri completate aici ar fi fost imediat afișate pentru oricine care i-ar fi accesat contul prin simpla cunoaștere a adresei sale de e-mail:

Cu câțiva ani în urmă, a ținut prima pagină a ziarelor când s-a descoperit că Grindr trimitea statutul HIV unor terțe părți și, având în vedere sensibilitatea acestor date, pe bună dreptate. Acest lucru, împreună cu multe dintre celelalte domenii de mai sus, este ceea ce face atât de senzațional faptul că datele au fost atât de banal accesate de oricine care ar putea exploata acest simplu defect.

Și în ceea ce privește site-ul web pe care nu m-am putut conecta fără a fi redirecționat înapoi la aplicația mobilă? Acum că m-am logat în aplicație cu noua parolă a lui Scott, încercările ulterioare mi-au permis pur și simplu să autorizez eu însumi cererea de logare:

Și gata – am intrat și pe site-ul web:

Aceasta este una dintre cele mai elementare tehnici de preluare a conturilor pe care le-am văzut. Nu pot să înțeleg de ce token-ul de resetare – care ar trebui să fie o cheie secretă – este returnat în corpul de răspuns al unei cereri emise în mod anonim. Ușurința exploatării este incredibil de mică, iar impactul este evident semnificativ, așa că în mod clar este ceva ce trebuie luat în serios…

Dar nu a fost așa. Persoana care a transmis această vulnerabilitate și-a împărtășit, de asemenea, istoricul de chat cu suportul Grindr. După câteva schimburi de replici, a furnizat detalii complete, suficiente pentru a verifica cu ușurință demersul de preluare a contului pe 24 septembrie. Reprezentantul de asistență Grindr a declarat că a „escaladat-o la dezvoltatorii noștri” și a marcat imediat biletul ca fiind „rezolvat”. Persoana mea de contact a revenit a doua zi și a cerut o actualizare a situației și a primit… greieri. A doua zi, a încercat să contacteze și adresele de e-mail de ajutor / suport și, după 5 zile de așteptare și fără a primi un răspuns, m-a contactat pe mine. El a împărtășit, de asemenea, o captură de ecran a încercării sale de a ajunge la Grindr prin Twitter DM care, ca și celelalte încercări de a raporta vulnerabilitatea, a căzut în urechi surde.

Așa că am încercat să găsesc eu însumi un contact de securitate la Grindr:

Anyone got a security at @Grindr they can connect me to?

– Troy Hunt (@troyhunt) 1 octombrie 2020

Sunt conștient că trimiterea unui astfel de tweet generează tot felul de răspunsuri care l-au urmat inevitabil și implică faptul că ceva cibernetic este în neregulă cu Grindr. Eu scriu un tweet public doar după ce încercările rezonabile de a lua legătura în privat eșuează și, pe baza paragrafului anterior, acele încercări au fost mai mult decât rezonabile. De fapt, un prieten mi-a trimis un DM pe Twitter și mi-a sugerat următoarele:

Nu sunt sigur că acel tweet de la Grindr a fost necesar, având în vedere că DM-urile lor sunt deschise și că te-au contactat destul de repede după

De aceea nu le-am trimis DM:

Această cale a fost încercată și a eșuat și sugerez că singurul motiv pentru care contul lor de Twitter mi-a răspuns public a fost că tweet-ul meu a stârnit mult interes.

După ce tweet-ul meu a fost difuzat. Am avut mai multe persoane care m-au contactat imediat și mi-au oferit informații de contact pentru echipa lor de securitate. Am transmis mai departe raportul original și în aproximativ o oră și jumătate de la tweet, resursa vulnerabilă era offline. La scurt timp după aceea, a revenit cu o soluție. Ca să fim corecți față de Grindr, în ciuda faptului că au triat rapoartele de securitate care necesitau muncă, răspunsul lor după ce am reușit să iau legătura cu persoanele potrivite a fost exemplar. Iată cum au răspuns atunci când au fost abordați de jurnalistul infosec Zack Whittaker:

Suntem recunoscători cercetătorului care a identificat o vulnerabilitate. Problema raportată a fost rezolvată. Din fericire, credem că am rezolvat problema înainte ca aceasta să fie exploatată de părți rău intenționate. Ca parte a angajamentului nostru de a îmbunătăți siguranța și securitatea serviciului nostru, ne asociem cu o firmă de securitate de top pentru a simplifica și îmbunătăți capacitatea cercetătorilor în domeniul securității de a raporta probleme precum acestea. În plus, vom anunța în curând un nou program de recompensă pentru bug-uri pentru a oferi stimulente suplimentare cercetătorilor pentru a ne ajuta să ne menținem serviciul nostru sigur în continuare.

În concluzie, acesta a fost un bug rău cu un rezultat bun: Grindr s-a descurcat bine după ce am luat legătura cu ei, cred că fac unele schimbări pozitive în ceea ce privește gestionarea rapoartelor de securitate și, bineînțeles, bug-ul a fost rezolvat. Oh – și Scott și-a făcut câțiva prieteni noi 😊

Securitate