Beveiligingslek in dating app Bumble onthult exacte locatie gebruikers

Wanneer je als software engineer wat tijd over hebt, dan kun je uit interesse en passie voor het vak op zoek gaan naar kwetsbaarheden in apps van anderen. Dat deed Robert Heaton ook, een beveiligingsonderzoeker van betaalprovider Stripe, die onderzoek deed naar de Bumble-app. Wat hij ontdekte was dat het het voor iedereen – toegegeven, met veel kennis van apps – mogelijk was om de exacte locatie van gebruikers te vinden.

Onthulling van locaties

Door te leren hoe de API (Application Programming Interface) van Bumble werkte, vond de software engineer een manier om de beveiligingen te omzeilen. Heaton gebruikte twee nepprofielen op Bumble, één voor de aanvaller en één voor het slachtoffer. Door willekeurige verzoeken naar de API van Bumble te sturen, kon hij uitvinden hoe de app omgaat met de geschatte locaties van matches.

Het bleek dat Bumble de afstanden tussen gebruikers naar beneden afrondde, maar met behulp van een bekende trilateratie-techniek wist Heaton alsnog de exacte locatie van andere gebruikers uit de code van de app te halen. Met trilateratie worden verschillende locatiegegevens gecombineerd om een centraal punt te vinden, in dit geval de locatie van een andere gebruiker. En als bijvangst lukte het hem ook om langs de betaalmuur van Bumble te komen, zonder ervoor te betalen.

Geen constante locatiefeed

“Het zou een aanvaller echter geen letterlijke livefeed van de locatie van een slachtoffer geven, aangezien Bumble de locatie niet zo vaak bijwerkt, en snelheidslimieten kunnen betekenen dat je maar één keer per uur kunt controleren”, zegt hij tegen The Daily Swig.

Omdat Heaton geen kwade bedoelingen had, meldde hij de kwetsbaarheid aan Bumble via bug bounty-site HackerOne. Bumble had vervolgens niet lang nodig om een oplossing te vinden. Het duurde slechts 72 uur om het probleem in de app op te lossen. Heaton ontving 2000 dollar, die hij aan een goed doel schonk.