关键漏洞信息 漏洞标题 Improper Session Invalidation in Face Authentication Allows Unauthorized Access Post Logout or Password Change 日期 2024-06-28 利用作者 Sahil Hiraman Dabhilkar 厂商主页 https://www.keepersecurity.com/ 软件链接 https://apps.apple.com/in/app/keeperchat/id1273303729 版本 7.65.2 测试环境 iPhone X, iOS Version 16.5.1 攻击摘要 应用程序在用户注销或更改密码后,无需重新输入密码即可通过面部认证(Face ID)授予对用户帐户的访问权限。这允许攻击者利用临时访问用户的设备和生物识别数据绕过标准的重新认证程序并获得持久的未经授权的访问。 影响 安全风险: Face ID在注销或更改密码后仍允许访问,危及会话安全性。 未经授权的访问: 如果攻击者短暂访问设备(例如,在解锁或无人看管时),即使用户尝试保护其帐户,他们也可以维持访问。 持续妥协: 重新安装应用程序不会使会话令牌失效或重新进行身份验证要求,允许持续访问。 攻击向量 攻击基于攻击者对用户未锁定设备的临时物理访问,并可以利用已设置的生物识别(Face ID)认证。 - 步骤1: 攻击者必须在受害者登录应用程序时对其未锁定设备具有物理访问权。 - 步骤2: 攻击者从设备中卸载应用程序,同时会话仍然处于活动状态。 - 步骤3: 攻击者在同一设备上重新安装应用程序。 - 步骤4: 在再次打开应用程序时,攻击者使用Face ID访问受害者的帐户,而无需提示输入密码,尽管进行了密码更改或先前的注销。 缓解措施 强制在注销或更改密码后使用密码进行重新认证,无论Face ID配置如何。 在更改密码时使现有的认证会话和Face ID令牌失效。 防止在恢复会话状态时进行生物识别访问,除非在重新安装或注销后重新验证了用户的凭据。 使用安全的密钥链/会话管理来清除敏感令牌,在卸载或注销时。