一位安全研究人员刚刚发现了Bumble的一个关键安全漏洞,跟踪者可能会利用这个漏洞来找到个人的位置。
如果滥用这个安全漏洞,潜在的损害可能是毁灭性的。
Bumble安全漏洞被发现
根据这个故事万博体育登录首页TechRadar在美国,一位安全研究人员最近发现了非常流行的约会应用Bumble的一个漏洞。
这个安全漏洞可能允许攻击者能够精确定位在Bumble上的其他用户的精确位置。
据报道,罗伯特·希顿(Robert Heaton)是知名支付公司Stripe的软件工程师,他发现了这款约会应用的漏洞,然后进行了开发,并执行了一种特殊的“三边验证”攻击,以测试他的发现。
罗伯特·希顿详细介绍了他的发现博客.
用来找到受害者位置的三边法
如果希顿发现的特定漏洞真的被攻击者利用,他们可以利用Bumble的应用程序和服务来找到受害者的家庭住址,并在一定程度上跟踪他们在现实世界中的活动。
然而,Bumble并没有在其流行的应用程序中经常更新用户的位置。
据报道,它不会向攻击者提供受害者具体位置的实时信息,而只是一个大致的概念。
Bumble的用户并不需要担心,因为希顿通过HackerOne向公司报告了这一关键发现,漏洞在三天后就被修补好了。但为了安全起见,用户应该立即更新应用程序。
与此同时,这款约会应用最近做了一项调查,发现1000个美国人中有30%的人不会和未接种疫苗的人约会.
希顿获得2000美元奖励
为此,希顿获得了2000美元的漏洞赏金。
据报道,希顿在研究Bumble应用程序中的位置跟踪时,创建了一个自动脚本,可以向公司的服务器发送一系列请求。
这些请求在实际请求到受害者的距离之前反复重新定位特定的“攻击者”。
希顿指出,如果攻击者能找到另一个Bumble用户的整个距离从3英里变为4英里的点,他们就能推断出这个点就是受害者离他们正好3.5英里的特定点。
读也:Watchdog称,苹果在保护儿童免受应用商店非法内容侵害方面做得不够
Bumble修复漏洞
在找到“翻转点”之后,攻击者就可以与受害者有三个精确的距离,据报道,这将使精确的三角测量成为可能。
此外,Heaton还成功地在Bumble中欺骗了任何对个人资料表示兴趣的人,而无需支付1.99美元的费用,通过规避对新API请求的签名检查。
据报道,Bumble已经修复了希顿发现的这个特殊漏洞,但据TechRadar称,经常使用在线约会应用的单身人士应该考虑使用VPN。万博体育登录首页这是为了避免在网上或在现实世界中不必要的跟踪。
在相关新闻中,大约700名Bumble员工休了倦怠假7月。
本文归科技时报所有万博体育登录首页
作者:Urian B。
