iOS 版 Okta Verify 中新披露的一个漏洞可能允许未经授权访问用户账户,即使用户主动拒绝了验证请求。该漏洞被追踪为 CVE-2024-10327,CVSS 得分为 8.1(高),会影响特定版本的应用程序,其关键在于 iOS ContextExtension 功能中的一个怪癖。Okta Verify 是一款流行的多因素身份验证 (MFA) 应用程序,数百万人使用它来保护自己的在线账户。然而,这个漏洞在某些情况下破坏了这一安全措施。“Okta 在其安全公告中解释说:”当用户长按通知横幅并选择一个选项时,这两个选项都允许身份验证成功。这基本上意味着,无论用户在推送通知上选择 “批准 ”还是 “拒绝”,身份验证都会成功,从而有可能允许攻击者访问。该漏洞影响 iOS 版本 9.25.1(测试版)、9.27.0(包括测试版)和 9.27.0(于 2024 年 10 月 21 日在苹果应用商店正式发布)的 Okta Verify。值得注意的是,该漏洞只影响在企业使用 Okta Classic 时注册了 Okta Verify 的用户,无论他们后来是否迁移到了 Okta Identity Engine。该漏洞可在多种情况下被利用,包括:锁定屏幕响应: 用户在未解锁设备的情况下直接从锁屏响应推送通知。主屏幕交互: 当用户通过向下拖动主屏幕上的推送通知并选择回复进行交互时。Apple Watch 回复: 用户直接通过 Apple Watch 回复推送通知。Okta 建议客户查看其系统日志,以确定可能受影响的用户,并将相关数据(如 IP 地址和地理位置)与已知的用户活动进行交叉比对,以发现任何异常。对于版本 9.25.1(测试版)的用户:eventType eq "user.authentication.auth_via_mfa" and debugContext.debugData.factor eq "OKTA_VERIFY_PUSH" and client.userAgent.rawUserAgent co "B7F62B65BN.com.okta.mobile/9.25.1" and outcome.result eq "SUCCESS"对于版本 9.27.0 的用户:eventType eq "user.authentication.auth_via_mfa" and debugContext.debugData.factor eq "OKTA_VERIFY_PUSH" and client.userAgent.rawUserAgent co "B7F62B65BN.com.okta.mobile/9.27.0" and outcome.result eq "SUCCESS"好消息是,Okta 已经解决了 iOS 版 Okta Verify 9.27.2 中的 CVE-2024-10327 漏洞。强烈建议用户尽快将其应用程序更新到该版本或更高版本,以降低这一风险。
