這是一個(gè)Netflix賬號(hào)的漏洞 Bugcrowd不想讓你知道

加州時(shí)間3月23日下午3點(diǎn)35分更新:Netflix的一位女發(fā)言人表示，以該漏洞超出范圍為由拒絕發(fā)布該漏洞報(bào)告，是該公司的一個(gè)錯(cuò)誤。此后，該公司證實(shí)了該報(bào)告的有效性，并于周五開(kāi)始發(fā)布補(bǔ)丁。這位女發(fā)言人說(shuō)，這名研究人員將得到一筆獎(jiǎng)金，不過(guò)她沒(méi)有透露獎(jiǎng)金的數(shù)額。以下是農(nóng)業(yè)研究所的報(bào)告，因?yàn)樗沁@樣運(yùn)行的

報(bào)告該威脅的研究人員表示，Netflix的一個(gè)安全漏洞允許用戶通過(guò)本地網(wǎng)絡(luò)未經(jīng)授權(quán)訪問(wèn)用戶賬戶，這超出了該公司漏洞獎(jiǎng)勵(lì)計(jì)劃的范圍。盡管對(duì)該報(bào)告不屑一顧，Bugcrowd漏洞報(bào)告服務(wù)仍試圖阻止該漏洞被公開(kāi)披露。

研究人員的概念驗(yàn)證漏洞使用了一個(gè)典型的中間人攻擊來(lái)竊取Netflix會(huì)話cookie。這些瀏覽器cookie相當(dāng)于音樂(lè)場(chǎng)館使用的腕帶，這樣付費(fèi)用戶就不會(huì)再收取門票費(fèi)用。擁有一個(gè)有效的會(huì)話cookie是訪問(wèn)目標(biāo)Netflix帳戶所需的全部?jī)?nèi)容。

Varun Kakumani,安全研究人員發(fā)現(xiàn)弱點(diǎn),私下里通過(guò)Bugcrowd報(bào)道,說(shuō)這次襲擊是有可能的,因?yàn)閮杉?(1)繼續(xù)使用明文HTTP連接而不是加密的HTTPS連接被一些Netflix子域和(2)的失敗Netflix裝備安全標(biāo)志的會(huì)話cookie,防止傳輸加密連接。

在2020年的一個(gè)主要Web服務(wù)中發(fā)現(xiàn)這些遺漏是令人驚訝的。2013年美國(guó)國(guó)家安全局(National Security Agency)不加區(qū)分地進(jìn)行間諜活動(dòng)的消息被曝光后，這些服務(wù)幾乎在所有子域都采用了HTTPS。該協(xié)議提供了網(wǎng)站和終端用戶之間的端到端加密。Netflix沒(méi)有回復(fù)記者的置評(píng)請(qǐng)求。如果沒(méi)有來(lái)自公司的解釋，就不清楚使用明文連接是一種疏忽，還是為了提供各種功能。

Kakumani告訴我:“本質(zhì)上，你可以黑掉任何一個(gè)在同一個(gè)Wi-Fi網(wǎng)絡(luò)上的Netflix賬戶?！薄袄吓蒑ITM攻擊?！?/p>

他說(shuō)，他通過(guò)漏洞報(bào)告服務(wù)Bugcrowd報(bào)告了這一威脅，Netflix利用該服務(wù)接收黑客的信息，并向他們支付報(bào)酬。3月11日，Bugcrowd回復(fù)Kakumani說(shuō)，他報(bào)告的漏洞超出了賞金計(jì)劃的范圍。Bugcrowd繼續(xù)告訴研究人員，他們的服務(wù)條款禁止他公開(kāi)披露或討論這個(gè)弱點(diǎn)。

“這個(gè)項(xiàng)目不允許披露，”回應(yīng)稱?！澳悴豢梢韵蚬姲l(fā)布關(guān)于在這個(gè)程序中發(fā)現(xiàn)的漏洞的信息。這適用于所有提交，不管狀態(tài)示例:超出范圍。這個(gè)政策是你同意提交的。再次謝謝你，祝你有美好的一天!”

Kakumani沒(méi)有理會(huì)這一警告，而是在Twitter上披露了這一漏洞，并發(fā)布了詳細(xì)展示他的攻擊過(guò)程的視頻。一位網(wǎng)名為Breonna的工作人員回復(fù)說(shuō):“你的推文是一種未經(jīng)授權(quán)的泄露，因?yàn)樗砻鬟@個(gè)程序存在特定的漏洞。它還包括一個(gè)到Y(jié)ouTube POC的鏈接，這違反了我們的條款和條件。請(qǐng)立即從YouTube上刪除這條推文和這段POC視頻?！?/p>

Kakumani同意了這一要求。周三，在發(fā)出通知7天后，Bugcrowd再次聯(lián)系Kakumani，告訴他他的報(bào)告被駁回了，因?yàn)樗侵疤峤坏膱?bào)告的副本。

Bugcrowd的官員在一份聲明中寫道:

公開(kāi)披露漏洞是一種細(xì)致入微的、高度情境化的對(duì)話。作為一個(gè)組織，我們強(qiáng)烈提倡公開(kāi)，并在我們的平臺(tái)(CrowdStream)中構(gòu)建了功能，旨在幫助研究人員和組織一起工作來(lái)公開(kāi)研究結(jié)果。

然而，由于安全漏洞的性質(zhì)和不協(xié)調(diào)公開(kāi)的潛在風(fēng)險(xiǎn)，一些客戶遵循的政策是，向平臺(tái)報(bào)告的任何內(nèi)容都需要得到客戶的批準(zhǔn)，然后才能公開(kāi)共享。這允許客戶在漏洞被暴露之前解決它。任何報(bào)告完全有可能達(dá)到這種狀態(tài)，只要研究人員和組織協(xié)調(diào)他們的活動(dòng)。如果研究人員在未得到不允許公開(kāi)的組織同意的情況下發(fā)布了關(guān)于漏洞的信息，我們將與研究人員一起從公共論壇中刪除這些信息，以保護(hù)研究人員和客戶。

我們通過(guò)我們的平臺(tái)和項(xiàng)目經(jīng)理來(lái)促進(jìn)這一點(diǎn)。報(bào)告漏洞的明確目標(biāo)是修補(bǔ)漏洞，使世界更加安全。

信息披露并沒(méi)有被永久禁止。我們強(qiáng)烈主張盡可能多地公開(kāi)信息——這對(duì)社區(qū)是有好處的，而且在修復(fù)之后，它顯示了組織在糾正這個(gè)問(wèn)題時(shí)的安全性。然而，重要的是，只有在研究人員和客戶的程序所有者進(jìn)行討論之后，雙方才能達(dá)成一個(gè)雙方都同意的披露時(shí)間表，等等。在大多數(shù)情況下，在有討論的情況下，通常會(huì)達(dá)成一個(gè)令人滿意的結(jié)果，所有各方都取得了勝利(組織了解并修復(fù)了這個(gè)發(fā)現(xiàn);研究人員獲得報(bào)酬，并能夠在問(wèn)題解決后的時(shí)間表上披露;消費(fèi)者也不會(huì)因?yàn)槲唇?jīng)授權(quán)的信息披露而面臨不必要的風(fēng)險(xiǎn))。我們擁有CrowdStream功能的平臺(tái)和項(xiàng)目團(tuán)隊(duì)使這種互動(dòng)成為可能。

如前所述，cookie要求攻擊者和目標(biāo)連接到相同的Wi-Fi接入點(diǎn)或其他本地網(wǎng)絡(luò)。未經(jīng)授權(quán)的訪問(wèn)還要求目標(biāo)登錄到他或她的Netflix帳戶。攻擊者使用一種稱為ARP中毒的技術(shù)來(lái)攔截目標(biāo)和Netflix之間的流量，然后將其傳遞給另一方。然后攻擊者等待目標(biāo)建立到任何域的HTTP連接。一旦建立了未加密的連接，攻擊者就會(huì)將HTML注入到連接中，以創(chuàng)建對(duì)Netflix HTTP子域之一的第二個(gè)連接請(qǐng)求，例如oca-api.netflix.com。

與HTTP子域的連接使netflixid(不受保護(hù)的會(huì)話的名稱)不需要接受cookie。如果目標(biāo)無(wú)法自己訪問(wèn)HTTP連接(由于HTTPS如今幾乎無(wú)處不在，這種情況越來(lái)越普遍)，攻擊者可以欺騙目標(biāo)點(diǎn)擊任何HTTP鏈接。一旦獲得了cookie，攻擊者就會(huì)使用瀏覽器控制臺(tái)將cookie粘貼到打開(kāi)的Netflix頁(yè)面上。這樣，攻擊者就可以訪問(wèn)目標(biāo)的帳戶。

Kakumani與Bugcrowd的通訊記錄顯示，漏洞報(bào)告服務(wù)的一名工作人員表示，擁有NetflixID cookie不足以獲得未經(jīng)授權(quán)的賬戶訪問(wèn)權(quán)限。相反，這名員工說(shuō)，“這種攻擊需要一個(gè)中間人的位置，而且不會(huì)危及SecureNetflix的cookie，該cookie用于認(rèn)證www.netflix.com的用戶?！盨ecureNetflix cookie設(shè)置了安全標(biāo)志，不會(huì)通過(guò)未加密的通道發(fā)送。NetflixId cookie沒(méi)有設(shè)置安全標(biāo)志，但是需要SecureNetflix cookie來(lái)驗(yàn)證用戶?！?/p>

Kakumani告訴我，這位工人的說(shuō)法是錯(cuò)誤的，他的概念驗(yàn)證視頻似乎證明了這一點(diǎn)。在Bugcrowd的堅(jiān)持下，這些視頻已經(jīng)不再公開(kāi)。視頻顯示，攻擊者僅使用NetflixId cookie來(lái)訪問(wèn)一個(gè)帳戶。

在任何情況下，獲得未經(jīng)授權(quán)訪問(wèn)的攻擊者都無(wú)法接管該帳戶，因?yàn)楦拿艽a或關(guān)聯(lián)的電子郵件地址需要知道當(dāng)前的密碼。然而，攻擊者仍然可以觀看視頻，查看目標(biāo)的觀看歷史、電話號(hào)碼和其他個(gè)人數(shù)據(jù)。攻擊者還可以將計(jì)劃更改為超高清晰度，這比高清晰度的成本更高。Kakumani說(shuō)，即使目標(biāo)用戶注銷了賬戶，或者在接收到截獲的會(huì)話cookie的同一臺(tái)設(shè)備上修改了密碼，也有可能進(jìn)行未經(jīng)授權(quán)的訪問(wèn)。

鑒于要求攻擊者必須在同一個(gè)本地網(wǎng)絡(luò)作為目標(biāo),要么技巧目標(biāo)點(diǎn)擊一個(gè)HTTP鏈接或等待目標(biāo)訪問(wèn)一個(gè)在他或她自己的,有這個(gè)弱點(diǎn)將廣泛利用的可能性。盡管如此，在經(jīng)常發(fā)生的場(chǎng)景中，該漏洞仍然為定向攻擊提供了機(jī)會(huì)。令人驚訝的是，擁有良好安全記錄的Netflix公司居然會(huì)對(duì)Kakumani的報(bào)告不屑一顧。

該事件還突顯了漏洞獎(jiǎng)勵(lì)計(jì)劃在壓制漏洞披露方面所扮演的角色。毫無(wú)疑問(wèn)，當(dāng)公司正在修復(fù)漏洞時(shí)，隱私是有意義的。這種保密性可以防止其他黑客在修復(fù)之前惡意利用漏洞。

但是一旦一個(gè)漏洞被修復(fù)，或者如果一個(gè)公司選擇不去修復(fù)，那么用戶就應(yīng)該得到這個(gè)漏洞的全部細(xì)節(jié)，包括攻擊是如何進(jìn)行的。限制信息自由流動(dòng)的Bugcrowd政策符合Netflix的利益，但對(duì)公眾的幫助不大。