报告威胁的研究人员说,Netflix的安全弱点允许在本地网络上未经授权访问用户帐户,超出了该公司的bug赏金计划的范围。 尽管该报告被驳回,但Bugcrowd漏洞报告服务部门仍试图防止公众披露该弱点。
研究人员的概念证明利用一个经典的中间人攻击窃取Netflix会话cookie。 这些浏览器cookie相当于音乐场地使用的腕带,因此付费客户不会第二次收取入场费。 拥有有效的会话cookie是访问目标Netflix帐户所需的一切。
发现这一弱点并通过Bugcrowd私下报告的安全研究人员Varun Kakumani说,这次攻击是可能的,原因有两点:(1)一些Netflix子域继续使用明文HTTP连接,而不是加密的HTTPS连接;(2)Netflix未能为会话cookie配备安全标志,从而防止在未加密连接上传输。
在2020年的一项主要Web服务中,这些遗漏令人惊讶。 在2013年国家安全局披露不分青红皂白的间谍活动后的几年里,这些服务几乎普遍采用了在所有子域使用HTTPS。 该协议提供网站和终端用户之间的端到端加密.. Netflix没有回复为此帖子寻求评论的消息。 如果没有公司的解释,就不清楚明文连接的使用是一个疏忽还是故意提供各种功能。
卡库马尼告诉我:“从本质上讲,你可以破解任何Netflix账户,不管是谁在同一个Wi-Fi网络上。 “老式MITM攻击。
他说,他通过Bugcrowd报告了这一威胁,该漏洞报告服务是Netflix用来接收黑客披露的信息,并以此换取报酬。 3月11日,Bugcrowd向Kakumani发出了一份答复,称他报告的弱点超出了赏金计划的范围。 布克劳德继续告诉研究人员,它的服务条款禁止他公开披露或讨论弱点。
答复中说:“本方案不允许披露。 “您不得向公众发布有关本程序中发现的漏洞的信息。 这适用于所有提交的文件,而不考虑状态示例:超出范围。 这项政策是你在提交时同意的。 再次感谢你,祝你今天愉快!
卡库马尼无视这一警告,在Twitter上披露了这一弱点,并张贴了详细显示他的攻击效果的视频。 一名Bugcrowd工作人员使用Breonna的名字回答说,“你的推特是一种未经授权的披露形式,因为它表明在这个程序中存在一个特定的漏洞。 它还包括一个链接到一个优管POC,这违反了我们的条款和条件。 请立即拉下这条推特和这个POC视频从你的管。”
卡库马尼遵守了要求。 星期三,在发出通知七天后,Bugcrowd再次联系Kakumani,告诉他他的报告被驳回,因为这是以前提交的报告的重复。
布克劳德官员在一份声明中写道:
公开披露漏洞是一个微妙和高度语境的对话。 作为一个组织,我们强烈提倡披露,并在我们的平台(人群流)中建立了功能,旨在帮助研究人员和组织共同披露发现。
然而,由于安全漏洞的性质和不协调披露的潜在风险,一些客户遵循的政策是,向平台报告的任何东西都需要得到客户的批准,才能公开共享。 这允许客户在披露之前解决漏洞。 任何报告都完全有可能达到这种状态,只要研究者和组织协调他们的活动.. 如果研究人员在未得到不允许披露的组织的同意的情况下发布关于漏洞的信息,我们与研究人员合作,将这些信息从公共论坛中删除,以保护研究人员和客户。
我们通过我们的平台和程序经理来促进这一点。 报告脆弱性的明确目标是使其得到补救,使世界更加安全。
披露不会永远被禁止。 我们强烈主张尽可能多地披露-这对社区有好处,在确定后,它显示了组织补救问题的安全性。 然而,重要的是,披露只能在研究人员和客户的项目所有者之间进行讨论后进行,以便双方达成一个相互同意的披露时间表等。 在大多数情况下,如果有讨论,通常会得出一个令人愉快的结果,所有各方都会赢(组织知道并修正了调查结果;研究人员得到报酬,并能够在问题确定后的时间表上披露;消费者不会因为未经授权的披露而面临不必要的风险)。 我们的平台具有Crowd Stream功能和程序团队能够实现这种交互。
如前所述,cookie盗窃需要攻击者和目标连接到相同的Wi-Fi接入点或其他本地网络。 未经授权的访问还要求目标登录到他或她的Netflix帐户。 攻击者使用一种名为ARP中毒的技术拦截目标和Netflix之间的流量,然后将其传递给对方。 然后攻击者等待目标与任何域进行HTTP连接。 一旦建立了未加密的连接,攻击者将HTML注入连接,以创建第二个连接请求到NetflixHTTP子域之一,如oca-api.netflix.com。
与HT TP子域的连接使NetflixID-不受保护的会话cookie的名称-不被接受。 如果目标本身不访问HTTP连接(这是越来越常见的,因为HTTPS现在几乎无处不在),攻击者可以欺骗目标点击任何HTTP链接。 一旦拥有cookie,攻击者就使用浏览器控制台将cookie粘贴到打开的Netflix页面上。 这样,攻击者访问目标的帐户。
卡库马尼与Bugcrowd的通信记录显示,漏洞报告服务部门的一名工作人员说,拥有NetflixID cookie不足以获得未经授权的访问帐户。 相反,这位工人说:“这种攻击需要一个中间人的位置,并且不会损害用于验证用户www.netflix.com的安全Netflix cookie。 安全Netflix cookie具有安全标志集,不会通过未加密的信道发送。 Netflix Id Cookie没有安全标志集,但需要安全Netflix Cookie来验证用户。
卡库马尼告诉我,工人的说法是错误的,他的概念证明视频,在Bugcrowd的坚持下,不再公开,似乎证明了这一点。 视频显示攻击者只使用NetflixId cookie来访问帐户。
无论如何,获得未经授权访问的攻击者不能接管该帐户,因为更改密码或相关电子邮件地址需要了解当前密码。 然而,攻击者仍然可以观看视频并查看目标的观看历史、电话号码和其他个人数据。 攻击者还可以将计划更改为超高清,这比高清贵。 卡库马尼说,即使目标注销帐户或在接收截获会话cookie的同一设备上更改密码,也可能进行未经授权的访问。
考虑到攻击者必须与目标在同一个本地网络上,并且必须欺骗目标点击HTTP链接或等待目标自己访问其中一个,这种弱点很难被广泛利用。 尽管如此,在经常发生的情况下,脆弱性为目标攻击提供了机会。 令人惊讶的是,Netflix,一家拥有相当好的安全记录的公司,会驳回Kakumani的报告。
这一事件还突出表明了错误奖励计划在压制漏洞披露方面的作用。 毫无疑问,当公司正在修复漏洞时,隐私是有意义的。 保密防止其他黑客在修复之前恶意利用弱点。
但是,一旦一个弱点被修复,或者在一家公司选择不修复的情况下,用户应该得到bug的全部细节,包括攻击是如何工作的。 阻止这些信息自由流动的Bugcrowd政策符合Netflix的利益,但对广大公众的帮助较小。