Новини ME, 20 квітня (UTC+8): За даними моніторингу Beating, у п’ятницю минулого тижня розробник з ідентифікатором BugstoOai опублікував звіт про безпеку в офіційній спільноті розробників OpenAI, в якому повідомляється про виявлення логічної вразливості у системі перевірки підписки на iOS-версію ChatGPT. У звіті зазначено, що бекенд OpenAI перевіряє чи є підпис чека Apple Pay дійсним, а також чи є дійсним токен авторизації OpenAI у запиті, але не порівнює Apple ID, з якого було здійснено покупку, з акаунтом OpenAI, на який видається Plus. Автор звіту сумарно описав поточну логіку авторизації як «дійсний чек + дійсний токен = активування Plus» і порівняв це з ситуацією, коли продавець перевіряє лише справжність квитка, але не перевіряє документи власника. Під вразливістю страждають iOS-додаток ChatGPT (автор звіту зазначив, що тестування було проведено у версії v1.2026.xx) та бекенд-інтерфейс `/backend-api/subscription/upgrade`. У звіті також наведено рекомендації щодо зменшення ризиків: прив’язати чек до ідентифікатора покупця, зробити чек одноразовим, додати прив’язку між Apple ID та акаунтом OpenAI за допомогою відбитків, а також моніторити випадки повторного використання одного transaction_id для різних акаунтів. У англомовному пості наведено лише загальні кроки, а повні деталі відтворення не публікуються відповідно до принципу «відповідальної розкритості». У кінці поста англомовна версія посилається на китайську статтю (linux.do/t/topic/1981747), у якій прямо описано шлях експлуатації: купити Plus за допомогою Apple ID з Туреччини (499 турецьких лір на місяць), перехопити чек, що надсилається додатком ChatGPT до OpenAI, за допомогою локального проксі-сервера, такого як mitmproxy, а потім використовувати цей чек для повторного виклику інтерфейсу підписки, щоб активувати Plus на різних акаунтах. Автор зазначив, що саме цей шлях використовується для надання дешевих підписок ChatGPT Plus на Xianyu. На даний момент OpenAI не висловилася у форумах чи інших каналах щодо цього звіту. Деякі користувачі в обговореннях заперечують, що матеріал був згенерований штучним інтелектом і не містить підтверджених доказів. Звіт не містить повного PoC і не був незалежно перевірений сторонніми дослідниками безпеки; наразі це можна розглядати лише як неперевірену інформацію. (Джерело: BlockBeats)
Уразливість підписки iOS ChatGPT Plus дозволяє повторно використовувати чеки для кількох акаунтів
KuCoinFlashПоділитися
Короткий зміст
Розробник виявив безпекову прогалину в системі підписки ChatGPT Plus для iOS, що дозволяє повторно використовувати чеки Apple Pay для кількох акаунтів. Проблема полягає в ендпоінті `/backend-api/subscription/upgrade`, де немає перевірки на відповідність Apple ID акаунту OpenAI. Це може пояснювати з’явлення недорогих підписок Plus на ринках перепродажу. OpenAI ще не відповів, і жодного доказу концепції не доступно. Ця прогалина викликає занепокоєння щодо CFT і підкреслює ризики для активів з високим рівнем ризику в криптовалютній та фінтех-сфері.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.