DigiLocker存在攻击者无需密码即可访问任意账户漏洞的示例分析

DigiLocker存在攻击者无需密码即可访问任意账户漏洞的示例分析，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

印度政府称已修复了该政府的安全文档钱包服务Digilocker中的一个严重漏洞，远程攻击者可利用该漏洞绕过一次性动态密码（OTP）并以其他用户身份登录。

该漏洞是由两个独立漏洞赏金研究人员Mohesh Mohan和Ashish Gahlot分别发现的。攻击者轻易就可利用该漏洞未授权访问目标用户在该政府运营的平台上上传的敏感文档。

Mohesh Mohan在一份披露报告中说到，“该OTP功能缺少授权，攻击者可以通过提交任意合法用户详情执行OTP验证，继而篡改流，以完全不同的用户身份登录。”

拥有3800万名注册用户，Digilocker是个基于云的存储库，作为一个数字平台帮助在线处理文档，和以更快的速度交付多种政府为市民提供的服务。Digilocker关联用户的手机号和Aadhar ID（政府发给每个印度居民的唯一身份号码）。

根据Mohan发布的信息，攻击者只需要知道受害者的Aadhar ID或关联的手机号或用户名，就可未授权访问目标Digilocker账户，促使该服务发送一个OTP密码，随后利用该漏洞绕过登录过程。

需要指出的是，Digilocker的移动app版本采用一个四位数的PIN提供多一层安全保护。但是，研究人员表示，通过将该PIN码关联另一名用户，可以修改API调用对该PIN码进行身份认证，并成功以受害者身份登录。

Mohan表示，这意味着“你可以以一个用户的身份进行SMS OTP验证，提交第二个用户的PIN码，最终，你会以第二个用户的身份登录。”

并且，用于设置秘密的PIN码的API端点缺少授权实际上意味着，该API可被用于重置与使用个人UUID的随机用户关联的PIN码。

Mohan补充道，“在POST请求上没有与session相关的信息，因此它不绑定任何用户。”

除了上述提到的问题，来自移动app的API调用采用基本认证方式进行保护，攻击者可通过移除一个header flag“is_encrypted:1.”绕过该认证方式。研究人员还发现该应用程序实现一个弱SSL锁定机制，使用Frida等工具可轻易绕过该机制。

Mohan在5月10日向CERT-In报告了该漏洞，Ashish在5月16日也向DigiLocker进行了报告，DigiLocker表示该漏洞已在5月28日得到修复。

Digilocker上周在一条推文中承认了该漏洞，该推文写道，“如果攻击者知道某个特定账户的用户名，个人的DigiLocker账户可能会被入侵，这是该漏洞的性质。如果不知道账户用户名和其他详情，则任何人都无法利用该漏洞访问DigiLocker账户。”

Digilocker团队补充说明道，“经过分析，发现该漏洞存在于一些最近新增的功能的代码中。在收到CERT-In的告警后，技术团队在一天内优先修复了该漏洞。这并非对基础设施的攻击，数据、数据库、存储或加密未受影响。”

看完上述内容是否对您有帮助呢？如果还想对相关知识有进一步的了解或阅读更多相关文章，请关注亿速云行业资讯频道，感谢您对亿速云的支持。