Discussion :

[Stéphane le calme]

Une vulnérabilité dans l'application populaire de rencontres Bumble révélait l'emplacement exact de n'importe quel utilisateur,
selon l'ingénieur Robert Heaton

Une vulnérabilité de sécurité dans l'application de rencontres populaire Bumble a permis aux attaquants de localiser avec précision l'emplacement précis d'autres utilisateurs. Bumble, qui compte plus de 100 millions d'utilisateurs dans le monde, émule la fonctionnalité « glisser vers la droite » de Tinder pour déclarer son intérêt pour des dates potentielles et pour montrer la distance géographique approximative des utilisateurs par rapport aux « correspondances » potentielles. À l'aide de faux profils Bumble, un chercheur en sécurité a conçu et exécuté une attaque de « trilatération » qui a déterminé l'emplacement précis d'une victime imaginaire. En conséquence, Bumble a corrigé une vulnérabilité qui posait un risque de harcèlement si elle n'avait pas été résolue.

La cofondatrice de Tinder, Whitney Wolfe, a décidé de créer, en 2014, Bumble, une application de rencontres spécialement conçue pour les femmes. Le but : bouleverser les codes des rencontres « standards ». « Au départ, la mission de Bumble visait à bousculer les règles du dating. Maintenant, nous cherchons à ce que nos membres se connectent avec confiance tant au niveau professionnel qu'amoureux, voire même en matière d'amitié. Nous incitons les femmes à faire le premier pas et ainsi remettre en question des normes que nous jugeons démodées. Grâce à une communauté basée sur le respect et la sympathie, les rencontres en ligne sont aussi simples que sûres ».

Dans cette optique, Bumble propose :

• Bumble Dating : dont le nom est suffisamment suggestif
• Bumble Bizz : « De nouvelles opportunités de carrière s'offrent à vous lorsque vous agrandissez votre réseau professionnel. Sur Bumble Bizz, vous pouvez rencontrer de nouveaux collègues ou encore offrir vos services en tant que mentor ».
• Bumble BFF : « Que vous veniez d'arriver en ville ou que vous cherchiez à faire de nouvelles connaissances, Bumble BFF est le meilleur moyen d'agrandir votre cercle d'amis ».

Comme la plupart des applications de rencontres en ligne, Bumble indique à ses utilisateurs à quelle distance ils se trouvent. Cela permet aux utilisateurs de prendre une décision éclairée quant à savoir si un amoureux potentiel vaut la peine d'un trajet en scooter de 5 kilomètres par un sombre mercredi soir, alors qu'il y a l'alternative d'une pizza et de la Casa de Papel sur Netflix qu'ils n'ont pas regardés. S'il est pratique de savoir à peu près à quelle distance un(e) chéri(e) hypothétique se trouve de nous, il est important de signaler que Bumble ne révèle pas l'emplacement exact d'un utilisateur. Cela pourrait permettre à un attaquant de déduire où habite l'utilisateur, où il se trouve actuellement, etc.

Robert Heaton, ingénieur logiciel chez le processeur de paiement Stripe, a découvert une vulnérabilité dans l'application de rencontres Bumble qui pourrait être utilisée pour discerner l'emplacement exact des utilisateurs, mettant potentiellement les utilisateurs en danger.

En apprenant comment fonctionne l'interface de programmation d'applications (API) de Bumble, l'ingénieur logiciel Robert Heaton a trouvé un moyen de localiser l'emplacement exact des utilisateurs, en contournant les protections de l'application conçues pour empêcher cela.

Heaton a utilisé deux faux profils Bumble, un pour l'attaquant et un pour la victime.

Il a pu contourner les contrôles de signature pour les demandes d'API, ce qui lui a permis de contourner le paywall de Bumble.

La possibilité d'envoyer des requêtes arbitraires à l'API de Bumble a permis à Heaton de déterminer comment l'application calculait et présentait les emplacements approximatifs correspondants des utilisateurs en arrondissant la distance exacte les unes par rapport aux autres.

Avec ces informations, Heaton a pu concevoir une attaque de trilatération, qui, de la même manière que la triangulation, révélerait l'emplacement de l'utilisateur victime de Bumble.

Le script

Dans le cadre de ses recherches, Heaton a développé un script automatisé qui a envoyé une séquence de requêtes aux serveurs Bumble qui ont relocalisé à plusieurs reprises « l'attaquant » avant de demander la distance à la victime.

« Si un attaquant (c'est-à-dire nous) peut trouver le point auquel la distance signalée à un utilisateur passe de, disons, 3 miles à 4 miles, l'attaquant peut en déduire que c'est le point auquel sa victime est exactement à 3,5 miles d'eux », explique-t-il dans un article de blog qui évoquait un scénario fictif pour démontrer comment une attaque pourrait se dérouler dans le monde réel.

Par exemple, « ,49999 milles peuvent être arrondis à 3 milles, 3,50000 arrondis à 4 », a-t-il ajouté.

Une fois que l'attaquant trouve trois « points de retournement » (flipping point), il dispose des trois distances exactes nécessaires à sa victime pour exécuter une trilatération précise.

Cependant, plutôt que d'arrondir vers le haut ou vers le bas, il s'est avéré que Bumble arrondissait toujours les distances vers le bas.

« Cette découverte n'interrompt pas l'attaque », a déclaré Heaton. « Cela signifie simplement que vous devez modifier votre script pour noter que le point auquel la distance passe de 3 miles à 4 miles est le point auquel la victime se trouve exactement à 4,0 miles, et non à 3,5 miles ».

Heaton a également pu contourner le paywall sur la fonctionnalité « Swipe yes », qui permet de voir toute personne qui a déclaré avoir un intérêt pour un profil, et n'a pas payé les frais de 1,99 $. Le hacking reposait sur le contournement des contrôles de signature pour les demandes d'API.

Trilatération et Tinder

Les recherches de Heaton se sont appuyées sur une vulnérabilité de trilatération similaire découverte dans Tinder en 2013 par Max Veytsman, que Heaton a examinée parmi d'autres vulnérabilités de fuite de localisation dans Tinder dans un précédent billet de blog.

Tinder, qui envoyait jusqu'ici les distances d'utilisateur à utilisateur à l'application avec une précision de 15 décimales, a corrigé cette vulnérabilité en calculant et en arrondissant les distances sur leurs serveurs avant de transmettre des valeurs entièrement arrondies à l'application.

Bumble semble avoir imité cette approche, a déclaré Heaton, qui n'a néanmoins pas réussi à contrecarrer son attaque précise de trilatération.

Des vulnérabilités similaires dans les applications de rencontres ont également été divulguées par des chercheurs de Synack en 2015, la différence subtile étant que leurs attaques de « triangulation » impliquaient l'utilisation de la trigonométrie pour déterminer les distances.

Vulnérabilité corrigée en 72 heures

Heaton a signalé la vulnérabilité à Bumble via le site de bug bounty HackerOne.

Un correctif a été déployé dans les 72 heures et Heaton a reçu 2 000 $ US, qu'il a donnés à une œuvre caritative Against Malaria Foundation.

En particulier, il a félicité Bumble pour avoir ajouté des contrôles supplémentaires « qui vous empêchent de faire correspondre ou de visualiser les utilisateurs qui ne sont pas dans votre file d'attente de correspondance » comme « un moyen astucieux de réduire l'impact des vulnérabilités futures ».

Dans son rapport de vulnérabilité, Heaton a également recommandé à Bumble d'arrondir les emplacements des utilisateurs au 0,1 degré de longitude et de latitude le plus proche avant de calculer les distances entre ces deux emplacements arrondis et d'arrondir le résultat au mile le plus proche.

« Il n'y aurait aucun moyen qu'une future vulnérabilité puisse exposer l'emplacement exact d'un utilisateur via la trilatération, car les calculs de distance n'auront même accès à aucun emplacement exact », a-t-il expliqué.

Toutefois, il a noté que c'est la deuxième vulnérabilité sérieuse de Bumble ces derniers temps.

En novembre de l'année dernière, des chercheurs d'Independent Security Evaluators ont découvert qu'il était non seulement possible d'éviter de payer pour les fonctionnalités premium de Bumble Boost, mais également de vider toutes les informations utilisateur de l'application de rencontres, y compris les images.

Bumble compte environ 100 millions d'utilisateurs dans le monde et a été créé par la cofondatrice de Tinder, Whitney Wolfe Herd, et le fondateur du réseau social Badoo, Andrey Andreev.

Source : Robert Heaton

[Jade Emy]

Les vulnérabilités des applications de rencontres telles que Bumble, Badoo, Grindr et Hinge permettent aux harceleurs de localiser les utilisateurs à moins de 2 mètres grâce à la trilatération

Un groupe de chercheurs a déclaré avoir découvert que des vulnérabilités dans la conception de certaines applications de rencontres permettaient à des utilisateurs malveillants ou à des harceleurs de localiser leurs victimes à deux mètres près. Pour localiser précisément un utilisateur cible, les chercheurs ont utilisé une nouvelle technique appelée "trilatération de l'oracle". Cette découverte devrait inciter les applications de rencontres à reconsidérer leurs pratiques de collecte de données, à protéger et à donner aux utilisateurs le contrôle de leurs données, donc leurs vies privées.

En 2021, une vulnérabilité de sécurité dans l'application de rencontres populaire Bumble a permis aux attaquants de localiser avec précision l'emplacement précis d'autres utilisateurs. Bumble, qui compte plus de 100 millions d'utilisateurs dans le monde, émule la fonctionnalité "glisser vers la droite" de Tinder pour déclarer son intérêt pour des dates potentielles et pour montrer la distance géographique approximative des utilisateurs par rapport aux "correspondances" potentielles. À l'aide de faux profils Bumble, un chercheur en sécurité a conçu et exécuté une attaque de "trilatération" qui a déterminé l'emplacement précis d'une victime imaginaire. En conséquence, Bumble a corrigé une vulnérabilité qui posait un risque de harcèlement si elle n'avait pas été résolue.

À l'époque, le chercheur s'est appuyé sur une vulnérabilité de trilatération similaire découverte dans Tinder en 2013. Depuis, Tinder a corrigé cette vulnérabilité en calculant et en arrondissant les distances sur leurs serveurs avant de transmettre des valeurs entièrement arrondies à l'application. Bumble semble avoir imité cette approche, mais n'a néanmoins pas réussi à contrecarrer l'attaque précise de trilatération. Des vulnérabilités similaires dans les applications de rencontres ont également été divulguées par des chercheurs de Synack en 2015, la différence subtile étant que leurs attaques de "triangulation" impliquaient l'utilisation de la trigonométrie pour déterminer les distances.

Récemment, un groupe de chercheurs a déclaré avoir découvert que des vulnérabilités dans la conception de certaines applications de rencontres, dont les populaires Bumble et Hinge, permettaient à des utilisateurs malveillants ou à des harceleurs de localiser leurs victimes à deux mètres près. Les chercheurs de l'université belge KU Leuven ont détaillé leurs conclusions en analysant 15 applications de rencontres populaires. Parmi celles-ci, Badoo, Bumble, Grindr, happn, Hinge et Hily présentaient toutes la même vulnérabilité qui aurait pu permettre à un utilisateur malveillant d'identifier l'emplacement quasi exact d'un autre utilisateur, selon les chercheurs.

Bien qu'aucune de ces applications ne partage les emplacements exacts lorsqu'elles affichent la distance entre les utilisateurs sur leurs profils, elles utilisent les emplacements exacts pour la fonction "filtres" des applications. D'une manière générale, les filtres permettent aux utilisateurs d'adapter leur recherche de partenaires en fonction de critères tels que l'âge, la taille, le type de relation qu'ils recherchent et, surtout, la distance.

Pour localiser précisément un utilisateur cible, les chercheurs ont utilisé une nouvelle technique appelée "trilatération de l'oracle". En général, la trilatération, utilisée par exemple dans le GPS, consiste à utiliser trois points et à mesurer leur distance par rapport à la cible. Cela crée trois cercles qui se croisent au point où se trouve la cible.

La trilatération Oracle fonctionne légèrement différemment. Selon les chercheurs, "la première étape pour la personne qui veut identifier la position de sa cible "estime grossièrement la position de la victime", par exemple en se basant sur la position affichée dans le profil de la cible. Ensuite, l'attaquant se déplace par incréments "jusqu'à ce que l'oracle indique que la victime n'est plus à proximité, et ce pour trois directions différentes". L'attaquant a maintenant trois positions avec une distance exacte connue, c'est-à-dire la distance de proximité présélectionnée, et peut trilatéraliser la victime".

"Il était quelque peu surprenant que des problèmes connus soient encore présents dans ces applications populaires", a déclaré Karel Dhondt, l'un des chercheurs. Bien que cette technique ne révèle pas les coordonnées GPS exactes de la victime, "je dirais que 2 mètres sont suffisamment proches pour identifier l'utilisateur", a déclaré M. Dhondt.

La bonne nouvelle, c'est que toutes les applications qui présentaient ces problèmes, et que les chercheurs ont contactées, ont maintenant modifié la façon dont les filtres de distance fonctionnent et ne sont pas vulnérables à la technique de trilatération de l'oracle. Selon les chercheurs, la solution consistait à arrondir les coordonnées exactes par trois décimales, ce qui les rendait moins précises et moins exactes.

Analyse des risques pour la confidentialité des données des utilisateurs sur les applications de rencontres basées sur la localisation

Les applications de rencontres basées sur la localisation (LBD) permettent aux utilisateurs de rencontrer de nouvelles personnes à proximité et en ligne en parcourant les profils des autres, qui contiennent souvent des données très personnelles et sensibles. Cette étude analyse systématiquement 15 applications de rencontres géolocalisées pour déterminer la prévalence des risques d'atteinte à la vie privée susceptibles d'entraîner des abus de la part d'utilisateurs malveillants désireux de traquer, de harceler ou de nuire à autrui.

Grâce à une analyse manuelle systématique de ces applications, les chercheurs ont évalué quelles données personnelles et sensibles sont partagées avec d'autres utilisateurs, à la fois sous forme d'exposition de données (intentionnelle) et sous forme de fuites involontaires mais puissantes dans le trafic API qui est autrement caché à un utilisateur, violant ainsi son modèle mental de ce qu'il partage sur les applications LBD. Ils montrent également que six applications permettent de localiser précisément une victime, ce qui permet de menacer physiquement la sécurité personnelle des utilisateurs.

Toutes ces expositions et fuites de données - favorisées par la facilité de création de comptes - permettent un profilage et un suivi ciblés ou à grande échelle, à long terme et furtifs des utilisateurs d'applications LBD. Bien que les politiques de confidentialité reconnaissent le traitement des données personnelles et qu'il existe une tension entre la fonctionnalité de l'application et la vie privée de l'utilisateur, il subsiste des risques importants en matière de confidentialité des données. Nous recommandons le contrôle de l'utilisateur, la minimisation des données et le renforcement de l'API comme contre-mesures pour protéger la vie privée des utilisateurs.

Les chercheurs commentent l'étude en concluant :

Une analyse systématique de 15 applications LBD populaires nous a permis de constater qu'elles exposent régulièrement des données personnelles à d'autres utilisateurs. Bien que les utilisateurs puissent se sentir obligés de partager ces données, il existe un risque particulier lorsque les API divulguent des données cachées dans l'interface utilisateur ainsi que la localisation exacte de l'utilisateur, car les utilisateurs ne sont pas conscients qu'ils partagent ces données, ce qui peut entraîner des dommages supplémentaires. En outre, les politiques de confidentialité des applications n'informent généralement pas les utilisateurs de ces menaces pour la vie privée et leur laissent le soin de protéger leurs données personnelles (sensibles).

Nous espérons que la prise de conscience de ces problèmes amènera les fournisseurs d'applications LBD à reconsidérer leurs pratiques de collecte de données, à protéger leurs API contre les fuites de données, à empêcher la déduction de la localisation et à donner aux utilisateurs le contrôle de leurs données et donc, en fin de compte, de leur vie privée.

Source : "Swipe Left for Identity Theft: An Analysis of User Data Privacy Risks on Location-based Dating Apps"

Et vous ?

Pensez-vous que cette étude est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Une vulnérabilité dans l'application populaire de rencontres Bumble révélait l'emplacement exact de n'importe quel utilisateur, selon l'ingénieur Robert Heaton

Les applications de rencontres avides de données vendent vos données personnelles : elles sont plus nocives que jamais pour votre vie privée et collectent beaucoup d'informations sur vous

Les internautes cherchent à fuir les applications de rencontres, estimant que leur utilisation est destructrice et frustrante. Nombreux se plaignent des inconvénients qui accompagnent ces apps