這是一個Netflix賬號的漏洞 Bugcrowd不想讓你知道

加州時間3月23日下午3點35分更新:Netflix的一位女發(fā)言人表示，以該漏洞超出范圍為由拒絕發(fā)布該漏洞報告，是該公司的一個錯誤。此后，該公司證實了該報告的有效性，并于周五開始發(fā)布補丁。這位女發(fā)言人說，這名研究人員將得到一筆獎金，不過她沒有透露獎金的數(shù)額。以下是農(nóng)業(yè)研究所的報告，因為它是這樣運行的

報告該威脅的研究人員表示，Netflix的一個安全漏洞允許用戶通過本地網(wǎng)絡(luò)未經(jīng)授權(quán)訪問用戶賬戶，這超出了該公司漏洞獎勵計劃的范圍。盡管對該報告不屑一顧，Bugcrowd漏洞報告服務(wù)仍試圖阻止該漏洞被公開披露。

研究人員的概念驗證漏洞使用了一個典型的中間人攻擊來竊取Netflix會話cookie。這些瀏覽器cookie相當(dāng)于音樂場館使用的腕帶，這樣付費用戶就不會再收取門票費用。擁有一個有效的會話cookie是訪問目標(biāo)Netflix帳戶所需的全部內(nèi)容。

Varun Kakumani,安全研究人員發(fā)現(xiàn)弱點,私下里通過Bugcrowd報道,說這次襲擊是有可能的,因為兩件事:(1)繼續(xù)使用明文HTTP連接而不是加密的HTTPS連接被一些Netflix子域和(2)的失敗Netflix裝備安全標(biāo)志的會話cookie,防止傳輸加密連接。

在2020年的一個主要Web服務(wù)中發(fā)現(xiàn)這些遺漏是令人驚訝的。2013年美國國家安全局(National Security Agency)不加區(qū)分地進行間諜活動的消息被曝光后，這些服務(wù)幾乎在所有子域都采用了HTTPS。該協(xié)議提供了網(wǎng)站和終端用戶之間的端到端加密。Netflix沒有回復(fù)記者的置評請求。如果沒有來自公司的解釋，就不清楚使用明文連接是一種疏忽，還是為了提供各種功能。

Kakumani告訴我:“本質(zhì)上，你可以黑掉任何一個在同一個Wi-Fi網(wǎng)絡(luò)上的Netflix賬戶?！薄袄吓蒑ITM攻擊?！?/p>

他說，他通過漏洞報告服務(wù)Bugcrowd報告了這一威脅，Netflix利用該服務(wù)接收黑客的信息，并向他們支付報酬。3月11日，Bugcrowd回復(fù)Kakumani說，他報告的漏洞超出了賞金計劃的范圍。Bugcrowd繼續(xù)告訴研究人員，他們的服務(wù)條款禁止他公開披露或討論這個弱點。

“這個項目不允許披露，”回應(yīng)稱?！澳悴豢梢韵蚬姲l(fā)布關(guān)于在這個程序中發(fā)現(xiàn)的漏洞的信息。這適用于所有提交，不管狀態(tài)示例:超出范圍。這個政策是你同意提交的。再次謝謝你，祝你有美好的一天!”

Kakumani沒有理會這一警告，而是在Twitter上披露了這一漏洞，并發(fā)布了詳細展示他的攻擊過程的視頻。一位網(wǎng)名為Breonna的工作人員回復(fù)說:“你的推文是一種未經(jīng)授權(quán)的泄露，因為它表明這個程序存在特定的漏洞。它還包括一個到Y(jié)ouTube POC的鏈接，這違反了我們的條款和條件。請立即從YouTube上刪除這條推文和這段POC視頻?！?/p>

Kakumani同意了這一要求。周三，在發(fā)出通知7天后，Bugcrowd再次聯(lián)系Kakumani，告訴他他的報告被駁回了，因為它是之前提交的報告的副本。

Bugcrowd的官員在一份聲明中寫道:

公開披露漏洞是一種細致入微的、高度情境化的對話。作為一個組織，我們強烈提倡公開，并在我們的平臺(CrowdStream)中構(gòu)建了功能，旨在幫助研究人員和組織一起工作來公開研究結(jié)果。

然而，由于安全漏洞的性質(zhì)和不協(xié)調(diào)公開的潛在風(fēng)險，一些客戶遵循的政策是，向平臺報告的任何內(nèi)容都需要得到客戶的批準(zhǔn)，然后才能公開共享。這允許客戶在漏洞被暴露之前解決它。任何報告完全有可能達到這種狀態(tài)，只要研究人員和組織協(xié)調(diào)他們的活動。如果研究人員在未得到不允許公開的組織同意的情況下發(fā)布了關(guān)于漏洞的信息，我們將與研究人員一起從公共論壇中刪除這些信息，以保護研究人員和客戶。

我們通過我們的平臺和項目經(jīng)理來促進這一點。報告漏洞的明確目標(biāo)是修補漏洞，使世界更加安全。

信息披露并沒有被永久禁止。我們強烈主張盡可能多地公開信息——這對社區(qū)是有好處的，而且在修復(fù)之后，它顯示了組織在糾正這個問題時的安全性。然而，重要的是，只有在研究人員和客戶的程序所有者進行討論之后，雙方才能達成一個雙方都同意的披露時間表，等等。在大多數(shù)情況下，在有討論的情況下，通常會達成一個令人滿意的結(jié)果，所有各方都取得了勝利(組織了解并修復(fù)了這個發(fā)現(xiàn);研究人員獲得報酬，并能夠在問題解決后的時間表上披露;消費者也不會因為未經(jīng)授權(quán)的信息披露而面臨不必要的風(fēng)險)。我們擁有CrowdStream功能的平臺和項目團隊使這種互動成為可能。

如前所述，cookie要求攻擊者和目標(biāo)連接到相同的Wi-Fi接入點或其他本地網(wǎng)絡(luò)。未經(jīng)授權(quán)的訪問還要求目標(biāo)登錄到他或她的Netflix帳戶。攻擊者使用一種稱為ARP中毒的技術(shù)來攔截目標(biāo)和Netflix之間的流量，然后將其傳遞給另一方。然后攻擊者等待目標(biāo)建立到任何域的HTTP連接。一旦建立了未加密的連接，攻擊者就會將HTML注入到連接中，以創(chuàng)建對Netflix HTTP子域之一的第二個連接請求，例如oca-api.netflix.com。

與HTTP子域的連接使netflixid(不受保護的會話的名稱)不需要接受cookie。如果目標(biāo)無法自己訪問HTTP連接(由于HTTPS如今幾乎無處不在，這種情況越來越普遍)，攻擊者可以欺騙目標(biāo)點擊任何HTTP鏈接。一旦獲得了cookie，攻擊者就會使用瀏覽器控制臺將cookie粘貼到打開的Netflix頁面上。這樣，攻擊者就可以訪問目標(biāo)的帳戶。

Kakumani與Bugcrowd的通訊記錄顯示，漏洞報告服務(wù)的一名工作人員表示，擁有NetflixID cookie不足以獲得未經(jīng)授權(quán)的賬戶訪問權(quán)限。相反，這名員工說，“這種攻擊需要一個中間人的位置，而且不會危及SecureNetflix的cookie，該cookie用于認證www.netflix.com的用戶。”SecureNetflix cookie設(shè)置了安全標(biāo)志，不會通過未加密的通道發(fā)送。NetflixId cookie沒有設(shè)置安全標(biāo)志，但是需要SecureNetflix cookie來驗證用戶?！?/p>

Kakumani告訴我，這位工人的說法是錯誤的，他的概念驗證視頻似乎證明了這一點。在Bugcrowd的堅持下，這些視頻已經(jīng)不再公開。視頻顯示，攻擊者僅使用NetflixId cookie來訪問一個帳戶。

在任何情況下，獲得未經(jīng)授權(quán)訪問的攻擊者都無法接管該帳戶，因為更改密碼或關(guān)聯(lián)的電子郵件地址需要知道當(dāng)前的密碼。然而，攻擊者仍然可以觀看視頻，查看目標(biāo)的觀看歷史、電話號碼和其他個人數(shù)據(jù)。攻擊者還可以將計劃更改為超高清晰度，這比高清晰度的成本更高。Kakumani說，即使目標(biāo)用戶注銷了賬戶，或者在接收到截獲的會話cookie的同一臺設(shè)備上修改了密碼，也有可能進行未經(jīng)授權(quán)的訪問。

鑒于要求攻擊者必須在同一個本地網(wǎng)絡(luò)作為目標(biāo),要么技巧目標(biāo)點擊一個HTTP鏈接或等待目標(biāo)訪問一個在他或她自己的,有這個弱點將廣泛利用的可能性。盡管如此，在經(jīng)常發(fā)生的場景中，該漏洞仍然為定向攻擊提供了機會。令人驚訝的是，擁有良好安全記錄的Netflix公司居然會對Kakumani的報告不屑一顧。

該事件還突顯了漏洞獎勵計劃在壓制漏洞披露方面所扮演的角色。毫無疑問，當(dāng)公司正在修復(fù)漏洞時，隱私是有意義的。這種保密性可以防止其他黑客在修復(fù)之前惡意利用漏洞。

但是一旦一個漏洞被修復(fù)，或者如果一個公司選擇不去修復(fù)，那么用戶就應(yīng)該得到這個漏洞的全部細節(jié)，包括攻擊是如何進行的。限制信息自由流動的Bugcrowd政策符合Netflix的利益，但對公眾的幫助不大。