Para ahli telah menemukan potensi kerentanan keamanan yang serius di aplikasi kencan populer Bumble (terbuka di tab baru) yang bisa memungkinkan penyerang untuk menentukan lokasi yang tepat dari pengguna layanan lainnya.
Robert Heaton, seorang insinyur perangkat lunak di perusahaan pembayaran Stripe (terbuka di tab baru)menemukan kerentanan di aplikasi kencan (terbuka di tab baru) dan kemudian melanjutkan untuk mengembangkan dan mengeksekusi serangan ‘trilateration’ untuk menguji temuannya.
Dalam sebuah posting blog (terbuka di tab baru)Heaton menguraikan bagaimana jika kerentanan dieksploitasi oleh penyerang, mereka dapat menggunakan aplikasi dan layanan Bubmle untuk menemukan alamat rumah korban serta melacak pergerakan mereka di dunia nyata sampai taraf tertentu.
Namun, karena Bumble tidak sering memperbarui lokasi penggunanya di aplikasinya, itu tidak akan memberi penyerang umpan langsung dari lokasi korban, hanya gagasan umum.
Untungnya, pengguna Bumble tidak perlu panik, karena Heaton melaporkan temuannya ke perusahaan melalui HackerOne (terbuka di tab baru). Layanan kencan menambal kerentanan hanya tiga hari kemudian, dan membayar hadiah bug Heaton (terbuka di tab baru) pembayaran sebesar $2.000.
Melacak lokasi pengguna Bumble
Selama penelitiannya tentang pelacakan lokasi di Bumble, Heaton membuat skrip otomatis yang mengirimkan urutan permintaan ke server perusahaan. Permintaan ini berulang kali memindahkan ‘penyerang’ sebelum meminta jarak ke korban.
Menurut Heaton, jika penyerang dapat menemukan titik di mana jarak yang dilaporkan dari pengguna Bumble lain berubah dari 3 mil menjadi 4 mil, mereka kemudian dapat menyimpulkan bahwa ini adalah titik di mana korban mereka berada tepat 3,5 mil jauhnya dari mereka. Setelah menemukan apa yang disebut “titik balik” ini, penyerang kemudian akan memiliki tiga jarak yang tepat ke korbannya yang memungkinkan triangulasi yang tepat.
Selain itu, Heaton berhasil memalsukan permintaan ‘swipe yes’ di aplikasi Bumble pada siapa saja yang juga menyatakan minat pada suatu profil tanpa membayar biaya $1,99 dengan menghindari pemeriksaan tanda tangan untuk permintaan API.
Bumble sejak itu memperbaiki kerentanan yang ditemukan oleh Heaton tetapi orang lajang yang sering menggunakan aplikasi kencan online juga harus mempertimbangkan untuk memasang VPN (terbuka di tab baru) di ponsel cerdas mereka untuk menghindari pelacakan online yang tidak diinginkan dan dalam hal ini, di dunia nyata.
Melalui Swig Harian (terbuka di tab baru)
