MEニュース:4月20日(UTC+8)、動察Beatingの監視によると、先週金曜日、IDがBugstoOaiの開発者がOpenAI公式開発者コミュニティにセキュリティレポートを投稿し、iOS版ChatGPTのサブスクリプション検証に論理的脆弱性が存在すると報告した。レポートでは、OpenAIのバックエンドがApple Payのレシート署名の正当性を検証し、リクエスト内のOpenAI auth tokenの有効性も確認しているが、購入レシートのApple IDとPlusを取得するOpenAIアカウントが同一人物であるかを比較していないことが指摘された。現在の認可ロジックは「正当なレシート+有効なtoken=Plusの有効化」とまとめられ、店員がレシートの真偽だけを確認し、保有者の身分証明を確認しないことに例えられた。影響を受けるのはChatGPT iOSアプリ(報告者はv1.2026.xx版でテスト済みと明記)およびバックエンドインターフェース「/backend-api/subscription/upgrade」である。レポートでは緩和策として、レシートを購入者の身元に紐づける、レシートを一回限り使用に制限する、Apple IDとOpenAIアカウントのファイingerprint関連付けを追加する、同一transaction_idが複数アカウントで出現するのを監視することを提案している。英語投稿では高レベルの手順のみを示し、完全な再現手順は「責任ある開示」の原則により公開しないとしている。投稿の末尾には中国語記事(linux.do/t/topic/1981747)が原文として記載されており、中国語版では具体的な悪用パスが明記されている:トルコ地域のApple IDでPlus(月額499リラ)を購入し、mitmproxyなどのローカルプロキシでChatGPTアプリからOpenAIへ送信されるレシートをインターセプトし、そのレシートを繰り返し使用して異なるアカウントにPlusを有効化する。報告者は、闲魚で低価格で提供されるChatGPT Plusの代金充填サービスの源がこのパスであると述べている。OpenAIはこれまでにこの報告に対してフォーラムやその他のチャネルで一切応答していない。ディスカッションでは、この内容がAIによって生成されたものであり、再現可能な証拠がないという疑問も呈されている。報告には完全なPoCは含まれず、第三者のセキュリティ研究者による独立した検証も行われていないため、現時点では検証待ちのリーク情報に過ぎない。(出典:BlockBeats)
iOSのChatGPT Plusサブスクリプションの脆弱性により、レシートを複数の口座で再利用可能になる
KuCoinFlash共有
概要
ある開発者が、iOS版ChatGPT Plusのサブスクリプションシステムにセキュリティ上の脆弱性を発見し、Apple Payの領収書を複数の口座で再利用可能であることを示した。この問題は、`/backend-api/subscription/upgrade`エンドポイントにあり、Apple IDがOpenAIアカウントと一致しているかの確認が行われていない。これにより、リセールプラットフォーム上で低価格のPlusサブスクリプションが登場する理由が説明できる可能性がある。OpenAIはまだ対応しておらず、プロトタイプの実証も存在しない。この脆弱性はCFTの懸念を引き起こし、暗号資産およびフィンテック分野におけるリスクオン資産へのリスクを浮き彫りにしている。
出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。
デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。