Hello there, ('ω')ノ

 

カスタム Cookie パラメータを使用した 2FA バイパスを。

 

脆弱性：

　MFA バイパス

　Android

 

記事：

　https://medium.com/@sharp488/2fa-bypass-using-custom-cookie-parameter-cb270c8557d2

 

今回は、HackerOne のプライベート プログラムで見つかった

2FA バイパスに関するもので。

数か月前、この会社はアプリケーションに 2FA 機能を新たに実装して。

 

新しい機能だったので、すぐにテストを開始して。

驚いたことに、2FAを回避でき。

2FA 検証プロセス中に受信した Cookie は、アカウントの

内部編集プロフィール ページにアクセスする可能性があり。

ここで、攻撃者は電子メール ID や電話番号を簡単に変更して、

アカウントを永久に乗っ取ることができて。

 

プログラムは 2FA 関連のバグのプロモーションを実行していたので、

他に欠陥があるかどうかを確認するためにさらにテストすることにして。

アプリケーションを調べていると、APK バージョンがあることに気づき。

これはプログラムの範囲では明示的に言及されていませんでしたが、

とにかく見てみることにして。

 

APKをインストールし、2FAが有効なアカウントでログインして。

アプリケーションは、2FA コードの入力を求めるメッセージを表示せずに

正常にログインして。

したがって、2要素認証はバイパスされ。

すぐに Burp Suite でリクエストを確認したところ、

ドメインがスコープ内にあることがわかって。 

 

根本的な原因：

最初は、開発者が APK に 2FA を実装していないと思い。

そこで、根本原因を見つけるために、Web アプリと APK からのリクエストを

比較することにして。

APK リクエストに追加のパラメータの UKAppMode=true があることに気付き。

Cookie で渡されたため、2FA バイパスが発生して。

カスタム Cookie パラメータ値

 

このパラメータが Web アプリのリクエストに追加された場合、

そこでも 2FA をバイパスできて。

 

Best regards, (^^ゞ