报告该威胁的研究人员表示,Netflix的一个安全漏洞允许用户通过本地网络未经授权访问用户账户,这超出了该公司漏洞奖励计划的范围。尽管对该报告不屑一顾,Bugcrowd漏洞报告服务仍试图阻止该漏洞被公开披露。
研究人员的概念验证漏洞使用了一个典型的中间人攻击来窃取Netflix会话cookie。这些浏览器cookie相当于音乐场馆使用的腕带,这样付费用户就不会再收取门票费用。拥有一个有效的会话cookie是访问目标Netflix帐户所需的全部内容。
这么多年了,还是没加密
Varun Kakumani,安全研究人员发现弱点,私下里通过Bugcrowd报道,说这次袭击是有可能的,因为两件事:(1)继续使用明文HTTP连接而不是加密的HTTPS连接被一些Netflix子域和(2)的失败Netflix装备安全标志的会话cookie,防止传输加密连接。
在2020年的一个主要Web服务中发现这些遗漏是令人惊讶的。2013年美国国家安全局(National Security Agency)不加区分地进行间谍活动的消息被曝光后,沐鸣开户测速这些服务几乎在所有子域都采用了HTTPS。该协议提供了网站和终端用户之间的端到端加密。Netflix没有回复记者的置评请求。如果没有来自公司的解释,就不清楚使用明文连接是一种疏忽,还是为了提供各种功能。
Kakumani告诉我:“本质上,你可以黑掉任何一个在同一个Wi-Fi网络上的Netflix账户。”“老派MITM攻击。”
信息披露不允许
他说,他通过漏洞报告服务Bugcrowd报告了这一威胁,Netflix利用该服务接收黑客的信息,并向他们支付报酬。3月11日,Bugcrowd回复Kakumani说,他报告的漏洞超出了赏金计划的范围。Bugcrowd继续告诉研究人员,他们的服务条款禁止他公开披露或讨论这个弱点。
“这个项目不允许披露,”回应称。“你不可以向公众发布关于在这个程序中发现的漏洞的信息。这适用于所有提交,不管状态示例:超出范围。这个政策是你同意提交的。再次谢谢你,祝你有美好的一天!”
Kakumani没有理会这一警告,而是在Twitter上披露了这一漏洞,并发布了详细展示他的攻击过程的视频。一位网名为Breonna的工作人员回复说:“你的推文是一种未经授权的泄露,因为它表明这个程序存在特定的漏洞。它还包括一个到YouTube POC的链接,这违反了我们的条款和条件。请立即从YouTube上删除这条推文和这段POC视频。”
Kakumani同意了这一要求。周三,在发出通知7天后,Bugcrowd再次联系Kakumani,告诉他他的报告被驳回了,因为它是之前提交的报告的副本。
Bugcrowd的官员在一份声明中写道:
公开披露漏洞是一种细致入微、高度情境化的对话。作为一个组织,我们强烈提倡公开,并在我们的平台(CrowdStream)中构建了功能,旨在帮助研究人员和组织一起工作来公开研究结果。
然而,由于安全漏洞的性质和不协调公开的潜在风险,一些客户遵循的政策是,向平台报告的任何内容都需要得到客户的批准,然后才能公开共享。这允许客户在漏洞被暴露之前解决它。任何报告完全有可能达到这种状态,只要研究人员和组织协调他们的活动。如果研究人员在未得到不允许公开的组织同意的情况下发布了关于漏洞的信息,我们将与研究人员一起从公共论坛中删除这些信息,以保护研究人员和客户。
我们通过我们的平台和项目经理来促进这一点。报告漏洞的明确目标是修补漏洞,使世界更加安全。
信息披露并没有被永久禁止。我们强烈主张尽可能多地公开信息——这对社区是有好处的,而且在修复之后,它显示了组织在纠正这个问题时的安全性。然而,重要的是,只有在研究人员和客户的程序所有者进行讨论之后,沐鸣开户测速双方才能达成一个双方都同意的披露时间表,等等。在大多数情况下,在有讨论的情况下,通常会达成一个令人满意的结果,所有各方都取得了胜利(组织了解并修复了这个发现;研究人员获得报酬,并能够在问题解决后的时间表上披露;消费者也不会因为未经授权的信息披露而面临不必要的风险)。我们拥有CrowdStream功能的平台和项目团队使这种互动成为可能。
如前所述,cookie盗窃要求攻击者和目标连接到相同的Wi-Fi接入点或其他本地网络。未经授权的访问还要求目标登录到他或她的Netflix帐户。攻击者使用一种称为ARP中毒的技术来拦截目标和Netflix之间的流量,然后将其传递给另一方。然后攻击者等待目标建立到任何域的HTTP连接。一旦建立了未加密的连接,攻击者就会将HTML注入到连接中,以创建对Netflix HTTP子域之一的第二个连接请求,例如oca-api.netflix.com。
与HTTP子域的连接使netflixid(不受保护的会话的名称)不需要接受cookie。如果目标无法自己访问HTTP连接(由于HTTPS如今几乎无处不在,这种情况越来越普遍),攻击者可以欺骗目标点击任何HTTP链接。一旦获得了cookie,攻击者就会使用浏览器控制台将cookie粘贴到打开的Netflix页面上。这样,攻击者就可以访问目标的帐户。
Kakumani与Bugcrowd的通讯记录显示,漏洞报告服务的一名工作人员表示,拥有NetflixID cookie不足以获得未经授权的账户访问权限。相反,这名员工说,“这种攻击需要一个中间人的位置,而且不会危及SecureNetflix的cookie,该cookie用于认证www.netflix.com的用户。”SecureNetflix cookie设置了安全标志,不会通过未加密的通道发送。NetflixId cookie没有设置安全标志,但是需要SecureNetflix cookie来验证用户。”
Kakumani告诉我,这位工人的说法是错误的,他的概念验证视频似乎证明了这一点。在Bugcrowd的坚持下,沐鸣开户测速这些视频已经不再公开。视频显示,攻击者仅使用NetflixId cookie来访问一个帐户。
在任何情况下,获得未经授权访问的攻击者都无法接管该帐户,因为更改密码或关联的电子邮件地址需要知道当前的密码。然而,攻击者仍然可以观看视频,查看目标的观看历史、电话号码和其他个人数据。攻击者还可以将计划更改为超高清晰度,这比高清晰度的成本更高。Kakumani说,即使目标用户注销了账户,或者在接收到截获的会话cookie的同一台设备上修改了密码,也有可能进行未经授权的访问。
剥削并不适合每个人
鉴于要求攻击者必须在同一个本地网络作为目标,要么技巧目标点击一个HTTP链接或等待目标访问一个在他或她自己的,有这个弱点将广泛利用的可能性。尽管如此,在经常发生的场景中,该漏洞仍然为定向攻击提供了机会。令人惊讶的是,拥有良好安全记录的Netflix公司居然会对Kakumani的报告不屑一顾。
该事件还突显了漏洞奖励计划在压制漏洞披露方面所扮演的角色。毫无疑问,当公司正在修复漏洞时,隐私是有意义的。这种保密性可以防止其他黑客在修复之前恶意利用漏洞。
但是一旦一个漏洞被修复,或者如果一个公司选择不去修复,那么用户就应该得到这个漏洞的全部细节,包括攻击是如何进行的。限制信息自由流动的Bugcrowd政策符合Netflix的利益,但对公众的帮助不大