您的位置: 首頁 >科技 >

這是一個Netflix賬號的漏洞 Bugcrowd不想讓你知道

2020-04-10 09:36:23 編輯: 來源:
導讀 加州時間3月23日下午3點35分更新:Netflix的一位女發(fā)言人表示,以該漏洞超出范圍為由拒絕發(fā)布該漏洞報告,是該公司的一個錯誤。此后,該公司證實了該報告的有效性,并于周五開始發(fā)布補丁。這位女發(fā)言人說,這名研究人員將得到一筆獎金,不過她沒有透露獎金的數(shù)額。以下是農(nóng)業(yè)研究所的報告,因為它是這樣運行的 報告該威脅的研究人員表示,Netflix的一個安全漏洞允許用戶通過本地網(wǎng)絡未經(jīng)授權(quán)訪問用戶賬戶

加州時間3月23日下午3點35分更新:Netflix的一位女發(fā)言人表示,以該漏洞超出范圍為由拒絕發(fā)布該漏洞報告,是該公司的一個錯誤。此后,該公司證實了該報告的有效性,并于周五開始發(fā)布補丁。這位女發(fā)言人說,這名研究人員將得到一筆獎金,不過她沒有透露獎金的數(shù)額。以下是農(nóng)業(yè)研究所的報告,因為它是這樣運行的

報告該威脅的研究人員表示,Netflix的一個安全漏洞允許用戶通過本地網(wǎng)絡未經(jīng)授權(quán)訪問用戶賬戶,這超出了該公司漏洞獎勵計劃的范圍。盡管對該報告不屑一顧,Bugcrowd漏洞報告服務仍試圖阻止該漏洞被公開披露。

研究人員的概念驗證漏洞使用了一個典型的中間人攻擊來竊取Netflix會話cookie。這些瀏覽器cookie相當于音樂場館使用的腕帶,這樣付費用戶就不會再收取門票費用。擁有一個有效的會話cookie是訪問目標Netflix帳戶所需的全部內(nèi)容。

Varun Kakumani,安全研究人員發(fā)現(xiàn)弱點,私下里通過Bugcrowd報道,說這次襲擊是有可能的,因為兩件事:(1)繼續(xù)使用明文HTTP連接而不是加密的HTTPS連接被一些Netflix子域和(2)的失敗Netflix裝備安全標志的會話cookie,防止傳輸加密連接。

在2020年的一個主要Web服務中發(fā)現(xiàn)這些遺漏是令人驚訝的。2013年美國國家安全局(National Security Agency)不加區(qū)分地進行間諜活動的消息被曝光后,這些服務幾乎在所有子域都采用了HTTPS。該協(xié)議提供了網(wǎng)站和終端用戶之間的端到端加密。Netflix沒有回復記者的置評請求。如果沒有來自公司的解釋,就不清楚使用明文連接是一種疏忽,還是為了提供各種功能。

Kakumani告訴我:“本質(zhì)上,你可以黑掉任何一個在同一個Wi-Fi網(wǎng)絡上的Netflix賬戶?!薄袄吓蒑ITM攻擊?!?/p>

他說,他通過漏洞報告服務Bugcrowd報告了這一威脅,Netflix利用該服務接收黑客的信息,并向他們支付報酬。3月11日,Bugcrowd回復Kakumani說,他報告的漏洞超出了賞金計劃的范圍。Bugcrowd繼續(xù)告訴研究人員,他們的服務條款禁止他公開披露或討論這個弱點。

“這個項目不允許披露,”回應稱。“你不可以向公眾發(fā)布關(guān)于在這個程序中發(fā)現(xiàn)的漏洞的信息。這適用于所有提交,不管狀態(tài)示例:超出范圍。這個政策是你同意提交的。再次謝謝你,祝你有美好的一天!”

Kakumani沒有理會這一警告,而是在Twitter上披露了這一漏洞,并發(fā)布了詳細展示他的攻擊過程的視頻。一位網(wǎng)名為Breonna的工作人員回復說:“你的推文是一種未經(jīng)授權(quán)的泄露,因為它表明這個程序存在特定的漏洞。它還包括一個到Y(jié)ouTube POC的鏈接,這違反了我們的條款和條件。請立即從YouTube上刪除這條推文和這段POC視頻。”

Kakumani同意了這一要求。周三,在發(fā)出通知7天后,Bugcrowd再次聯(lián)系Kakumani,告訴他他的報告被駁回了,因為它是之前提交的報告的副本。

Bugcrowd的官員在一份聲明中寫道:

公開披露漏洞是一種細致入微的、高度情境化的對話。作為一個組織,我們強烈提倡公開,并在我們的平臺(CrowdStream)中構(gòu)建了功能,旨在幫助研究人員和組織一起工作來公開研究結(jié)果。

然而,由于安全漏洞的性質(zhì)和不協(xié)調(diào)公開的潛在風險,一些客戶遵循的政策是,向平臺報告的任何內(nèi)容都需要得到客戶的批準,然后才能公開共享。這允許客戶在漏洞被暴露之前解決它。任何報告完全有可能達到這種狀態(tài),只要研究人員和組織協(xié)調(diào)他們的活動。如果研究人員在未得到不允許公開的組織同意的情況下發(fā)布了關(guān)于漏洞的信息,我們將與研究人員一起從公共論壇中刪除這些信息,以保護研究人員和客戶。

我們通過我們的平臺和項目經(jīng)理來促進這一點。報告漏洞的明確目標是修補漏洞,使世界更加安全。

信息披露并沒有被永久禁止。我們強烈主張盡可能多地公開信息——這對社區(qū)是有好處的,而且在修復之后,它顯示了組織在糾正這個問題時的安全性。然而,重要的是,只有在研究人員和客戶的程序所有者進行討論之后,雙方才能達成一個雙方都同意的披露時間表,等等。在大多數(shù)情況下,在有討論的情況下,通常會達成一個令人滿意的結(jié)果,所有各方都取得了勝利(組織了解并修復了這個發(fā)現(xiàn);研究人員獲得報酬,并能夠在問題解決后的時間表上披露;消費者也不會因為未經(jīng)授權(quán)的信息披露而面臨不必要的風險)。我們擁有CrowdStream功能的平臺和項目團隊使這種互動成為可能。

如前所述,cookie要求攻擊者和目標連接到相同的Wi-Fi接入點或其他本地網(wǎng)絡。未經(jīng)授權(quán)的訪問還要求目標登錄到他或她的Netflix帳戶。攻擊者使用一種稱為ARP中毒的技術(shù)來攔截目標和Netflix之間的流量,然后將其傳遞給另一方。然后攻擊者等待目標建立到任何域的HTTP連接。一旦建立了未加密的連接,攻擊者就會將HTML注入到連接中,以創(chuàng)建對Netflix HTTP子域之一的第二個連接請求,例如oca-api.netflix.com。

與HTTP子域的連接使netflixid(不受保護的會話的名稱)不需要接受cookie。如果目標無法自己訪問HTTP連接(由于HTTPS如今幾乎無處不在,這種情況越來越普遍),攻擊者可以欺騙目標點擊任何HTTP鏈接。一旦獲得了cookie,攻擊者就會使用瀏覽器控制臺將cookie粘貼到打開的Netflix頁面上。這樣,攻擊者就可以訪問目標的帳戶。

Kakumani與Bugcrowd的通訊記錄顯示,漏洞報告服務的一名工作人員表示,擁有NetflixID cookie不足以獲得未經(jīng)授權(quán)的賬戶訪問權(quán)限。相反,這名員工說,“這種攻擊需要一個中間人的位置,而且不會危及SecureNetflix的cookie,該cookie用于認證www.netflix.com的用戶?!盨ecureNetflix cookie設(shè)置了安全標志,不會通過未加密的通道發(fā)送。NetflixId cookie沒有設(shè)置安全標志,但是需要SecureNetflix cookie來驗證用戶?!?/p>

Kakumani告訴我,這位工人的說法是錯誤的,他的概念驗證視頻似乎證明了這一點。在Bugcrowd的堅持下,這些視頻已經(jīng)不再公開。視頻顯示,攻擊者僅使用NetflixId cookie來訪問一個帳戶。

在任何情況下,獲得未經(jīng)授權(quán)訪問的攻擊者都無法接管該帳戶,因為更改密碼或關(guān)聯(lián)的電子郵件地址需要知道當前的密碼。然而,攻擊者仍然可以觀看視頻,查看目標的觀看歷史、電話號碼和其他個人數(shù)據(jù)。攻擊者還可以將計劃更改為超高清晰度,這比高清晰度的成本更高。Kakumani說,即使目標用戶注銷了賬戶,或者在接收到截獲的會話cookie的同一臺設(shè)備上修改了密碼,也有可能進行未經(jīng)授權(quán)的訪問。

鑒于要求攻擊者必須在同一個本地網(wǎng)絡作為目標,要么技巧目標點擊一個HTTP鏈接或等待目標訪問一個在他或她自己的,有這個弱點將廣泛利用的可能性。盡管如此,在經(jīng)常發(fā)生的場景中,該漏洞仍然為定向攻擊提供了機會。令人驚訝的是,擁有良好安全記錄的Netflix公司居然會對Kakumani的報告不屑一顧。

該事件還突顯了漏洞獎勵計劃在壓制漏洞披露方面所扮演的角色。毫無疑問,當公司正在修復漏洞時,隱私是有意義的。這種保密性可以防止其他黑客在修復之前惡意利用漏洞。

但是一旦一個漏洞被修復,或者如果一個公司選擇不去修復,那么用戶就應該得到這個漏洞的全部細節(jié),包括攻擊是如何進行的。限制信息自由流動的Bugcrowd政策符合Netflix的利益,但對公眾的幫助不大。


免責聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。