DigiLocker存在攻擊者無需密碼即可訪問任意賬戶漏洞的示例分析

DigiLocker存在攻擊者無需密碼即可訪問任意賬戶漏洞的示例分析，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

印度政府稱已修復了該政府的安全文檔錢包服務Digilocker中的一個嚴重漏洞，遠程攻擊者可利用該漏洞繞過一次性動態密碼（OTP）并以其他用戶身份登錄。

該漏洞是由兩個獨立漏洞賞金研究人員Mohesh Mohan和Ashish Gahlot分別發現的。攻擊者輕易就可利用該漏洞未授權訪問目標用戶在該政府運營的平臺上上傳的敏感文檔。

Mohesh Mohan在一份披露報告中說到，“該OTP功能缺少授權，攻擊者可以通過提交任意合法用戶詳情執行OTP驗證，繼而篡改流，以完全不同的用戶身份登錄。”

擁有3800萬名注冊用戶，Digilocker是個基于云的存儲庫，作為一個數字平臺幫助在線處理文檔，和以更快的速度交付多種政府為市民提供的服務。Digilocker關聯用戶的手機號和Aadhar ID（政府發給每個印度居民的唯一身份號碼）。

根據Mohan發布的信息，攻擊者只需要知道受害者的Aadhar ID或關聯的手機號或用戶名，就可未授權訪問目標Digilocker賬戶，促使該服務發送一個OTP密碼，隨后利用該漏洞繞過登錄過程。

需要指出的是，Digilocker的移動app版本采用一個四位數的PIN提供多一層安全保護。但是，研究人員表示，通過將該PIN碼關聯另一名用戶，可以修改API調用對該PIN碼進行身份認證，并成功以受害者身份登錄。

Mohan表示，這意味著“你可以以一個用戶的身份進行SMS OTP驗證，提交第二個用戶的PIN碼，最終，你會以第二個用戶的身份登錄。”

并且，用于設置秘密的PIN碼的API端點缺少授權實際上意味著，該API可被用于重置與使用個人UUID的隨機用戶關聯的PIN碼。

Mohan補充道，“在POST請求上沒有與session相關的信息，因此它不綁定任何用戶。”

除了上述提到的問題，來自移動app的API調用采用基本認證方式進行保護，攻擊者可通過移除一個header flag“is_encrypted:1.”繞過該認證方式。研究人員還發現該應用程序實現一個弱SSL鎖定機制，使用Frida等工具可輕易繞過該機制。

Mohan在5月10日向CERT-In報告了該漏洞，Ashish在5月16日也向DigiLocker進行了報告，DigiLocker表示該漏洞已在5月28日得到修復。

Digilocker上周在一條推文中承認了該漏洞，該推文寫道，“如果攻擊者知道某個特定賬戶的用戶名，個人的DigiLocker賬戶可能會被入侵，這是該漏洞的性質。如果不知道賬戶用戶名和其他詳情，則任何人都無法利用該漏洞訪問DigiLocker賬戶。”

Digilocker團隊補充說明道，“經過分析，發現該漏洞存在于一些最近新增的功能的代碼中。在收到CERT-In的告警后，技術團隊在一天內優先修復了該漏洞。這并非對基礎設施的攻擊，數據、數據庫、存儲或加密未受影響。”

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。