咯咯地笑;可笑的安全

2020-09-11 21:30:13

前言:从技术角度来看,这篇博客文章几乎没有什么有趣的地方。已发现的漏洞非常基本,但风险相当高。由于申请的性质,以及我们试图披露的后果,我们想要写下我们的发现。TL;DR的意思是,“咯咯笑”已经将用户的电话号码、私人图像和位置暴露给了世界。

通常情况下,我们不会在发现漏洞后这么快就发布这样的漏洞,但应用程序的所有者拒绝听取我们的意见,并不断声称没有漏洞存在。我们试图通过第三方联系她(在我们被屏蔽之后),让她在发布这篇帖子之前先阅读一下,但她同样没有表现出兴趣。

(编辑:在漏洞修复之前,我们撰写了这篇文章,但没有发布。傻笑告诉我们,现在已经修复了,所以我们很放心地公布了这些细节。)。

(编辑3:我们对第一条公开推文中的措辞有一些问题。我们守口如瓶。由于不知道结果会怎样,我们想明确表示我们不支持这款应用程序或创始人,但想要报告这个问题。公司在报告漏洞时可能会变得不可预测,我们希望避免他们会公开赞扬我们,甚至在他们的网站上提到我们的情况,等等。)。

本周,我在一款名为“咯咯”的应用程序上注册了一个账户。你看,上个月我被诊断出患有过早更年期,我想在一个以女性为中心的环境中找到一个安全的空间。在某个地方,我可以开诚布公地谈论这段经历,也许能得到一些支持,但也能找到一些轻松的方式在网上进行社交。

在没有太多调查的情况下,我发现了咯咯的笑声,这似乎检查了所有的框。一款免费的应用程序,宣传安全可靠的社交网络。咯咯承诺为我提供一个远离厌女症和性别歧视的避难所,在那里我可以找到支持和社区。

有一些危险信号,比如过度使用粉色和“女性”这个词,但我决定试一试。

在这一点上,红旗变得更深了一点。首先,我被要求提交我的电话号码,以便向我的手机发送验证码。然后,我被要求允许这款应用程序访问我的相机,这样就可以提交我的自拍,以验证我是女性。显然,这种验证是使用人工智能完成的。从以前在这方面所做的工作中,我们知道这往往是臭名昭著的,因为它错误地描述了某些种族群体,因此排除了某些种族群体,一些跨性女性和一些看起来很男性化的女性。

这个应用程序向我保证,我的验证照片不会被存储,所以不用担心我的长相,所以我的gargoylesq表情被提交了(我稍后会去看),我也被正式批准进入这个应用程序。

我去建立我的个人资料,看看有哪些关于我的公开信息,即使只是在应用程序中也没有,我不得不建立多个资料或“咯咯笑”,才能就我感兴趣的每个特定主题(我选择了更年期、身体形象、徒步旅行和品酒)开始一次类似火种的体验,范围从社交和爱好到更高风险的领域,如虐待和性工作。

因为我很好奇我的数据有多安全,而且我们目前正在改进REX(我想他们可能会喜欢免费的许可证),我们决定更深入地挖掘一下。

使用BurpSuite和新安装的应用程序,我们截获了网络流量,发现了一些有趣的东西,我们决定不再进一步查看,因为我们没有权限进行全面的分析。在注册过程中,如前所述,用户需要验证电话号码和自拍。我们提交了一张没有通过的自拍,不出所料,我们无法获得咯咯的笑声。

查看网络请求发现,尽管帐户处于未验证状态,但我们仍然有一个有效的身份验证令牌(原来这是硬编码到应用程序中的),允许我们向API发出请求。同样,我们没有执行完整的分析,尽管我们怀疑这里可能存在问题。我们看到的是UserList端点。其中包含一个筛选器参数,其中包含我的电话号码、操作员(在本例中为“equals”)和一个字段(“mobile”)。想必,这就是从API获取用户帐户详细信息的方式。

当然,显而易见的问题是,如果我们将此筛选器参数更改为另一个电话号码,将查询更改为对另一个参数(如用户ID或用户名)进行筛选,甚至是否会完全删除筛选器,从而允许我们查看所有帐户,会发生什么情况?

首先,我们决定更改过滤查询,使其根据我们在初始分析期间收到的原始帐户的GUID进行过滤。这将返回原始帐户详细信息,其中包括用户的电话号码、年龄(设置为隐藏)以及纬度和经度。

拥有电话号码已经够糟糕的了,但是我们使用Google Maps检查了返回的纬度和经度。当然,这将我们带到了我创建帐户的那个房子。

这意味着完全未经应用程序验证的攻击者可以查看所有用户的地址和电话号码,如果他们有帐户ID的话。在我们看来,这是相当糟糕的。

接下来,我们希望能够在不知道帐户ID的情况下下载相同的详细信息。查看筛选器参数,可以清楚地看到有很多方法可以做到这一点。我们可以完全删除过滤器,尽管这会向我们显示我们试图避免看到的其他帐户,或者我们可以更改查询以显示与电话号码不匹配的所有帐户。作为概念证明,我们决定将运算符字段从“等于”更改为“包含”,并截断GUID。由于这返回了相同的数据,因此显然可以看到如何简单地修改查询以公开所有注册的帐户,而不需要任何必备的帐户知识。

那用来验证账户的所谓的私人照片呢?他们声称不储存?看我的鬼脸!

如果我们查看验证映像的URL(我们通过查看BurpSuite中的网络流量恢复了它),我们可以看到唯一需要的是用户GUID。因为我们可以查看每个帐户(例如,我们的测试帐户)的用户GUID,所以我们可以轻松下载关联的验证自拍。虽然这本身并不可怕,但傻笑确实承诺这不会被分享或发布,而且,考虑到它是与我的手机号码和地理坐标一起存储的可用数据,有了这些信息,攻击者就会知道我的地址,我的个人手机号码和我的长相。

这就是我们真正可怕的地方。“傻笑”中有几个章节鼓励女性在堕胎、虐待、上瘾和人际关系等方面寻求支持。可用的数据量意味着,有了电话号码或名字,施虐的伴侣就有可能找到受虐女性的位置,并通过验证照片确认她的身份。还有一个为性工作者开设的专区,可以理解的是,他们希望任何能让他们为自己的工作做广告的应用程序都有足够的隐私和安全控制。即使用户删除了他们的账户,这些数据似乎仍然可以通过咯咯笑来保存。

我们查看的最后一件事是删除的帐户是否真的被删除。我们使用“删除帐户”按钮删除了原始帐户,并尝试查看关联的帐户详细信息。

当然,它们仍然存在,并且仅设置为禁用,这意味着它们仍由系统存储。可能会定期删除帐户。在这一点上,我们通常会联系供应商,要求澄清。这就把我们带到了故事的下一部分…。

我们想让傻笑知道这个秃鹫的存在,并要求更多的细节,而不是很小的部分,因为它很容易被利用。在此期间,我们对这款应用的起源做了一些挖掘,发现创始人有一个非常公开的反跨性议程。然而,尽管这让我们感到恶心,但我们的工作是保护用户,所以我们通过Twitter直接发出信息咯咯笑。

由于没有回复,我们决定给他们发一条推文,要求他们将他们的DM与他们的创始人抄送,但有一个警告,我们不会分享或支持她的反变性人观点。

我们的公开推特完全没有参与,直到咯咯的创始人萨尔决定与她的追随者分享一张截图。从那以后,我们就受到了长篇大论的辱骂。所有这些都不是关于应用程序的安全性。感兴趣的人可以自由浏览我们的推特,找到成百上千条推文,以回应试图揭露这个漏洞的行为,但我们决定不将其复制到这篇帖子中。

我们的创始人已经联系到了咯咯和萨尔,在每次尝试联系后都被屏蔽了。我们成立三年的公司被指责为一个令人毛骨悚然的家伙,经营着充满裸体女性的私人WhatsApp群,是另类左翼的幌子,编造谣言诋毁萨尔和她的公司,并指责伪君子想要保护用户的数据,尽管应用程序创始人的观点与我们自己的相反。

我们公司和我(一名女性)曾多次被指责为男性,因此是一个厌女者。我们被告知,作为男性(60%的数字中断是女性),我们不应该对女性及其个人数据的安全拥有发言权。

可悲的是,在试图披露时,否认并不少见。我们习惯了被忽视,甚至受到一些阻力,但最终我们觉得坚持并确保用户的个人数据得到保护是我们的责任。

令人震惊的是,性别批评者和“亲女性”群体的恶毒,以及他们在背景信息如此之少的情况下如此迅速地发起攻击,完全无视用户(在这种情况下,是自己社区中的女性)的安全,而且似乎对信息安全一无所知。萨尔曾多次表示,在不让我们给她详细信息的情况下,不存在任何漏洞,而是选择相信我们是在编造这件事,以损害她的声誉。

我们的心与那些每天处理这种虐待行为的人联系在一起,我们将继续维护跨性别者的权利。

最后,这对咯咯的用户意味着什么。不幸的是,你的位置和电话号码(以及验证自拍)是对公众开放的。我们建议您要求“傻笑”来解决这些问题,或者要求他们删除您的帐户。请注意,在应用程序中使用“删除”按钮是不够的。