iOS 版 Okta Verify 中新披露的一个漏洞可能允许未经授权访问用户账户，即使用户主动拒绝了验证请求。该漏洞被追踪为 CVE-2024-10327，CVSS 得分为 8.1（高），会影响特定版本的应用程序，其关键在于 iOS ContextExtension 功能中的一个怪癖。

Okta Verify 是一款流行的多因素身份验证 (MFA) 应用程序，数百万人使用它来保护自己的在线账户。然而，这个漏洞在某些情况下破坏了这一安全措施。“Okta 在其安全公告中解释说：”当用户长按通知横幅并选择一个选项时，这两个选项都允许身份验证成功。这基本上意味着，无论用户在推送通知上选择 “批准 ”还是 “拒绝”，身份验证都会成功，从而有可能允许攻击者访问。

该漏洞影响 iOS 版本 9.25.1（测试版）、9.27.0（包括测试版）和 9.27.0（于 2024 年 10 月 21 日在苹果应用商店正式发布）的 Okta Verify。值得注意的是，该漏洞只影响在企业使用 Okta Classic 时注册了 Okta Verify 的用户，无论他们后来是否迁移到了 Okta Identity Engine。

该漏洞可在多种情况下被利用，包括：

• 锁定屏幕响应： 用户在未解锁设备的情况下直接从锁屏响应推送通知。
• 主屏幕交互： 当用户通过向下拖动主屏幕上的推送通知并选择回复进行交互时。
• Apple Watch 回复： 用户直接通过 Apple Watch 回复推送通知。

Okta 建议客户查看其系统日志，以确定可能受影响的用户，并将相关数据（如 IP 地址和地理位置）与已知的用户活动进行交叉比对，以发现任何异常。

对于版本 9.25.1（测试版）的用户：

eventType eq "user.authentication.auth_via_mfa" and debugContext.debugData.factor eq "OKTA_VERIFY_PUSH" and client.userAgent.rawUserAgent co "B7F62B65BN.com.okta.mobile/9.25.1" and outcome.result eq "SUCCESS"

对于版本 9.27.0 的用户：

eventType eq "user.authentication.auth_via_mfa" and debugContext.debugData.factor eq "OKTA_VERIFY_PUSH" and client.userAgent.rawUserAgent co "B7F62B65BN.com.okta.mobile/9.27.0" and outcome.result eq "SUCCESS"

好消息是，Okta 已经解决了 iOS 版 Okta Verify 9.27.2 中的 CVE-2024-10327 漏洞。强烈建议用户尽快将其应用程序更新到该版本或更高版本，以降低这一风险。