在 Zendesk 的 Android SDK 实施中发现了一个严重的安全漏洞,该漏洞允许攻击者在没有任何用户交互的情况下执行大规模帐户接管。
该漏洞获得了 3,000 美元的漏洞赏金,源于可预测的令牌生成机制,该机制允许未经授权访问受影响组织的所有 Zendesk 支持票证。
Key Takeaways 1. Predictable JWT tokens in Zendesk’s Android SDK allow zero-click account takeovers. 2. Attackers can mass-generate tokens without rate limits to access all tickets and data. 3. Fix by using high-entropy secrets, enforcing rate limits, and auditing mobile auth.
该漏洞利用了 Zendesk Android SDK 生成身份验证令牌方式中的一个根本弱点,将硬编码的密钥与顺序帐户 ID 相结合,以创建可预测的 JWT 令牌。
此设计缺陷允许恶意行为者系统地为任何用户帐户生成有效的身份验证令牌,而无需任何形式的用户交互或社会工程。
帐户接管漏洞
Voorivex 的团队报告说,该漏洞存在于 ZendeskHelper.g() 方法中,该方法实现了有缺陷的令牌生成算法。该方法使用可预测的公式创建身份验证令牌:
令牌生成过程遵循以下步骤:
- 基本字符串构造:REDACTED-{AccountID}-{HardcodedSecret}
- SHA-1 哈希生成:通过 SHA-1 哈希处理基本字符串
- 最终令牌格式:{AccountID}_{SHA1Hash}
这个严重缺陷源于两个关键弱点:使用在所有安装中保持不变的静态硬编码密钥 (987sdasdlkjlakdjjf),以及可以轻松枚举的顺序帐户 ID (getRemoteId())。
这种组合创建了一种场景,攻击者只需迭代帐户 ID 范围即可为任何用户生成有效的身份验证令牌。
此设计缺陷允许恶意行为者系统地为任何用户帐户生成有效的身份验证令牌,而无需任何形式的用户交互或社会工程。
帐户接管漏洞
Voorivex 的团队报告说,该漏洞存在于 ZendeskHelper.g() 方法中,该方法实现了有缺陷的令牌生成算法。该方法使用可预测的公式创建身份验证令牌:
令牌生成过程遵循以下步骤:
- 基本字符串构造:REDACTED-{AccountID}-{HardcodedSecret}
- SHA-1 哈希生成:通过 SHA-1 哈希处理基本字符串
- 最终令牌格式:{AccountID}_{SHA1Hash}
这个严重缺陷源于两个关键弱点:使用在所有安装中保持不变的静态硬编码密钥 (987sdasdlkjlakdjjf),以及可以轻松枚举的顺序帐户 ID (getRemoteId())。
这种组合创建了一种场景,攻击者只需迭代帐户 ID 范围即可为任何用户生成有效的身份验证令牌。
身份验证流将 POST 请求发送到 /access/sdk/jwt 端点:
服务器以有效的access_token进行响应,授予对受害者的 Zendesk 支持环境的完全访问权限,包括读取所有票证、提交新请求以及执行通过支持界面提供的任何作的能力。
该漏洞通过系统化的令牌生成和验证,实现零点击式大规模账户接管攻击。
攻击者可以实施自动化脚本来迭代帐户 ID 范围,生成相应的令牌,并针对 Zendesk 端点验证它们,而不会触发速率限制或帐户锁定机制。
成功利用攻击后,攻击者可以访问:
- 包含敏感客户通信的完整工单历史记录
- 支持对话中的个人身份信息 (PII)
- 公司内部沟通和支持程序
- 客户投诉模式和商业智能数据
- 能够在支持交互中模拟合法用户
该漏洞会影响任何使用 Zendesk 的 Android SDK 进行移动支持集成的组织,可能会影响全球数千家公司。
