2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
加州時間3月23日下午3點(diǎn)35分更新:Netflix的一位女發(fā)言人表示,以該漏洞超出范圍為由拒絕發(fā)布該漏洞報(bào)告,是該公司的一個錯誤。此后,該公司證實(shí)了該報(bào)告的有效性,并于周五開始發(fā)布補(bǔ)丁。這位女發(fā)言人說,這名研究人員將得到一筆獎金,不過她沒有透露獎金的數(shù)額。以下是農(nóng)業(yè)研究所的報(bào)告,因?yàn)樗沁@樣運(yùn)行的
報(bào)告該威脅的研究人員表示,Netflix的一個安全漏洞允許用戶通過本地網(wǎng)絡(luò)未經(jīng)授權(quán)訪問用戶賬戶,這超出了該公司漏洞獎勵計(jì)劃的范圍。盡管對該報(bào)告不屑一顧,Bugcrowd漏洞報(bào)告服務(wù)仍試圖阻止該漏洞被公開披露。
研究人員的概念驗(yàn)證漏洞使用了一個典型的中間人攻擊來竊取Netflix會話cookie。這些瀏覽器cookie相當(dāng)于音樂場館使用的腕帶,這樣付費(fèi)用戶就不會再收取門票費(fèi)用。擁有一個有效的會話cookie是訪問目標(biāo)Netflix帳戶所需的全部內(nèi)容。
Varun Kakumani,安全研究人員發(fā)現(xiàn)弱點(diǎn),私下里通過Bugcrowd報(bào)道,說這次襲擊是有可能的,因?yàn)閮杉?(1)繼續(xù)使用明文HTTP連接而不是加密的HTTPS連接被一些Netflix子域和(2)的失敗Netflix裝備安全標(biāo)志的會話cookie,防止傳輸加密連接。
在2020年的一個主要Web服務(wù)中發(fā)現(xiàn)這些遺漏是令人驚訝的。2013年美國國家安全局(National Security Agency)不加區(qū)分地進(jìn)行間諜活動的消息被曝光后,這些服務(wù)幾乎在所有子域都采用了HTTPS。該協(xié)議提供了網(wǎng)站和終端用戶之間的端到端加密。Netflix沒有回復(fù)記者的置評請求。如果沒有來自公司的解釋,就不清楚使用明文連接是一種疏忽,還是為了提供各種功能。
Kakumani告訴我:“本質(zhì)上,你可以黑掉任何一個在同一個Wi-Fi網(wǎng)絡(luò)上的Netflix賬戶。”“老派MITM攻擊?!?/p>
他說,他通過漏洞報(bào)告服務(wù)Bugcrowd報(bào)告了這一威脅,Netflix利用該服務(wù)接收黑客的信息,并向他們支付報(bào)酬。3月11日,Bugcrowd回復(fù)Kakumani說,他報(bào)告的漏洞超出了賞金計(jì)劃的范圍。Bugcrowd繼續(xù)告訴研究人員,他們的服務(wù)條款禁止他公開披露或討論這個弱點(diǎn)。
“這個項(xiàng)目不允許披露,”回應(yīng)稱?!澳悴豢梢韵蚬姲l(fā)布關(guān)于在這個程序中發(fā)現(xiàn)的漏洞的信息。這適用于所有提交,不管狀態(tài)示例:超出范圍。這個政策是你同意提交的。再次謝謝你,祝你有美好的一天!”
Kakumani沒有理會這一警告,而是在Twitter上披露了這一漏洞,并發(fā)布了詳細(xì)展示他的攻擊過程的視頻。一位網(wǎng)名為Breonna的工作人員回復(fù)說:“你的推文是一種未經(jīng)授權(quán)的泄露,因?yàn)樗砻鬟@個程序存在特定的漏洞。它還包括一個到Y(jié)ouTube POC的鏈接,這違反了我們的條款和條件。請立即從YouTube上刪除這條推文和這段POC視頻?!?/p>
Kakumani同意了這一要求。周三,在發(fā)出通知7天后,Bugcrowd再次聯(lián)系Kakumani,告訴他他的報(bào)告被駁回了,因?yàn)樗侵疤峤坏膱?bào)告的副本。
Bugcrowd的官員在一份聲明中寫道:
公開披露漏洞是一種細(xì)致入微的、高度情境化的對話。作為一個組織,我們強(qiáng)烈提倡公開,并在我們的平臺(CrowdStream)中構(gòu)建了功能,旨在幫助研究人員和組織一起工作來公開研究結(jié)果。
然而,由于安全漏洞的性質(zhì)和不協(xié)調(diào)公開的潛在風(fēng)險(xiǎn),一些客戶遵循的政策是,向平臺報(bào)告的任何內(nèi)容都需要得到客戶的批準(zhǔn),然后才能公開共享。這允許客戶在漏洞被暴露之前解決它。任何報(bào)告完全有可能達(dá)到這種狀態(tài),只要研究人員和組織協(xié)調(diào)他們的活動。如果研究人員在未得到不允許公開的組織同意的情況下發(fā)布了關(guān)于漏洞的信息,我們將與研究人員一起從公共論壇中刪除這些信息,以保護(hù)研究人員和客戶。
我們通過我們的平臺和項(xiàng)目經(jīng)理來促進(jìn)這一點(diǎn)。報(bào)告漏洞的明確目標(biāo)是修補(bǔ)漏洞,使世界更加安全。
信息披露并沒有被永久禁止。我們強(qiáng)烈主張盡可能多地公開信息——這對社區(qū)是有好處的,而且在修復(fù)之后,它顯示了組織在糾正這個問題時的安全性。然而,重要的是,只有在研究人員和客戶的程序所有者進(jìn)行討論之后,雙方才能達(dá)成一個雙方都同意的披露時間表,等等。在大多數(shù)情況下,在有討論的情況下,通常會達(dá)成一個令人滿意的結(jié)果,所有各方都取得了勝利(組織了解并修復(fù)了這個發(fā)現(xiàn);研究人員獲得報(bào)酬,并能夠在問題解決后的時間表上披露;消費(fèi)者也不會因?yàn)槲唇?jīng)授權(quán)的信息披露而面臨不必要的風(fēng)險(xiǎn))。我們擁有CrowdStream功能的平臺和項(xiàng)目團(tuán)隊(duì)使這種互動成為可能。
如前所述,cookie要求攻擊者和目標(biāo)連接到相同的Wi-Fi接入點(diǎn)或其他本地網(wǎng)絡(luò)。未經(jīng)授權(quán)的訪問還要求目標(biāo)登錄到他或她的Netflix帳戶。攻擊者使用一種稱為ARP中毒的技術(shù)來攔截目標(biāo)和Netflix之間的流量,然后將其傳遞給另一方。然后攻擊者等待目標(biāo)建立到任何域的HTTP連接。一旦建立了未加密的連接,攻擊者就會將HTML注入到連接中,以創(chuàng)建對Netflix HTTP子域之一的第二個連接請求,例如oca-api.netflix.com。
與HTTP子域的連接使netflixid(不受保護(hù)的會話的名稱)不需要接受cookie。如果目標(biāo)無法自己訪問HTTP連接(由于HTTPS如今幾乎無處不在,這種情況越來越普遍),攻擊者可以欺騙目標(biāo)點(diǎn)擊任何HTTP鏈接。一旦獲得了cookie,攻擊者就會使用瀏覽器控制臺將cookie粘貼到打開的Netflix頁面上。這樣,攻擊者就可以訪問目標(biāo)的帳戶。
Kakumani與Bugcrowd的通訊記錄顯示,漏洞報(bào)告服務(wù)的一名工作人員表示,擁有NetflixID cookie不足以獲得未經(jīng)授權(quán)的賬戶訪問權(quán)限。相反,這名員工說,“這種攻擊需要一個中間人的位置,而且不會危及SecureNetflix的cookie,該cookie用于認(rèn)證www.netflix.com的用戶?!盨ecureNetflix cookie設(shè)置了安全標(biāo)志,不會通過未加密的通道發(fā)送。NetflixId cookie沒有設(shè)置安全標(biāo)志,但是需要SecureNetflix cookie來驗(yàn)證用戶?!?/p>
Kakumani告訴我,這位工人的說法是錯誤的,他的概念驗(yàn)證視頻似乎證明了這一點(diǎn)。在Bugcrowd的堅(jiān)持下,這些視頻已經(jīng)不再公開。視頻顯示,攻擊者僅使用NetflixId cookie來訪問一個帳戶。
在任何情況下,獲得未經(jīng)授權(quán)訪問的攻擊者都無法接管該帳戶,因?yàn)楦拿艽a或關(guān)聯(lián)的電子郵件地址需要知道當(dāng)前的密碼。然而,攻擊者仍然可以觀看視頻,查看目標(biāo)的觀看歷史、電話號碼和其他個人數(shù)據(jù)。攻擊者還可以將計(jì)劃更改為超高清晰度,這比高清晰度的成本更高。Kakumani說,即使目標(biāo)用戶注銷了賬戶,或者在接收到截獲的會話cookie的同一臺設(shè)備上修改了密碼,也有可能進(jìn)行未經(jīng)授權(quán)的訪問。
鑒于要求攻擊者必須在同一個本地網(wǎng)絡(luò)作為目標(biāo),要么技巧目標(biāo)點(diǎn)擊一個HTTP鏈接或等待目標(biāo)訪問一個在他或她自己的,有這個弱點(diǎn)將廣泛利用的可能性。盡管如此,在經(jīng)常發(fā)生的場景中,該漏洞仍然為定向攻擊提供了機(jī)會。令人驚訝的是,擁有良好安全記錄的Netflix公司居然會對Kakumani的報(bào)告不屑一顧。
該事件還突顯了漏洞獎勵計(jì)劃在壓制漏洞披露方面所扮演的角色。毫無疑問,當(dāng)公司正在修復(fù)漏洞時,隱私是有意義的。這種保密性可以防止其他黑客在修復(fù)之前惡意利用漏洞。
但是一旦一個漏洞被修復(fù),或者如果一個公司選擇不去修復(fù),那么用戶就應(yīng)該得到這個漏洞的全部細(xì)節(jié),包括攻擊是如何進(jìn)行的。限制信息自由流動的Bugcrowd政策符合Netflix的利益,但對公眾的幫助不大。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。