Okta Verify for iOS 身份绕过漏洞CVE-2024-10327

Okta Verify 是Okta开发的一款身份验证应用程序，允许用户在登录Okta帐户或访问受Okta保护的应用程序时，可以使用它进行身份验证。

一、基本情况

Okta Verify是用于账户安全验证软件，帮助用户在登录、注册和恢复密码等场景中实现多因素（MFA）验证，确保账户安全得到最大保障。

Okta Verify类似于Google authenticator 和 Duo Mobile，一些海外公司、院校等可能会要求雇员和学生使用这款APP来确保自己账号安全。

栋科技漏洞库关注到Okta近期披露一个可能允许未经授权访问用户账户，即使用户主动拒绝验证请求漏洞，漏洞追踪为CVE-2024-10327。

二、漏洞分析

CVE-2024-10327漏洞CVSS评分8.1，Okta 安全公告解释道：当用户长按通知横幅并选择一个选项时，这两个选项都允许身份验证成功。

漏洞允许通过iOS ContextExtension功能进行推送通知响应，这意味着无论用户在推送通知上选择 “批准 ”还是 “拒绝”，身份验证都会成功。

该漏洞影响 iOS 版本 9.25.1（测试版）、9.27.0（包括测试版）和 9.27.0（于2024年10 月21日时在AppStore上正式发布）的Okta Verify。

因此该漏洞的被利用的先决条件是：企业使用Okta Classic时注册了Okta Verify的用户，无论他们后来是否迁移到了 Okta Identity Engine。

ContextExtension 功能是在 iOS 设备上使用 Okta 验证推送时可用的多种推送机制之一，CVE-2024-10327漏洞可能在多种情况下被利用：

锁定屏幕响应：当用户在锁定屏幕上看到通知时，用户直接按下通知并选择回复，而无需解锁设备；

主屏幕交互： 当用户在主屏幕上看到通知并将通知向下拖动并选择其回复时；

Apple Watch 回复： 用户直接通过 Apple Watch 回复推送通知。

Okta 建议查看系统日志以确定是否受其影响，并将相关数据（如IP地址和地理位置）与已知的用户活动进行交叉比对，以发现任何异常。

三、影响范围

Okta verify for iOS 版本 9.25.1（测试版），将于 2024 年 9 月 30 日在 Apple TestFlight 中提供

Okta verify for iOS 版本 9.27.0（测试版）将于 2024 年 10 月 10 日在 Apple TestFlight 中提供。

Okta verify for iOS 版本 9.27.0 于 2024 年 10 月 21 日星期一发布到 Apple App Store

四、修复建议

更新 APP 到最新版本

五、参考链接

https://help.okta.com/en-us/content/topics/releasenotes/okta-verify-release-notes.htm#panel2

https://trust.okta.com/security-advisories/okta-verify-for-ios-cve-2024-10327/