报告 #3136790 - 利用飞行模式绕过未成年人账户锁定无需支持交互

提交者: polem4rch
报告对象: Tools for Humanity
报告时间: 2025年5月9日, 4:29am UTC

摘要

尊敬的Worldcoin团队，
在使用iOS应用时，我修改了应用中的出生日期为一个未成年人（如2015年1月1日），导致账户被锁定。应用仅允许通过联系支持来请求解锁账户，但通过启用飞行模式，用户可以使用护照自行解锁账户。

需要明确的是，我未能完成概念验证（PoC），因为应用要求扫描护照RFID，而我的阿根廷护照（来源地）据报道在此方面存在问题，RFID无法正常工作。视频PoC中尝试扫描但失败，因此我停止了尝试。

关于此漏洞，我不确定用户能够使用护照解锁账户是否一定是坏事，除非这并非预期行为，而支持交互才是首选方式。

步骤

1. 在应用中修改用户出生日期为未成年人，例如01/01/2015。
2. 关闭并重新打开应用。
3. 应用将要求用户联系支持。
4. 重复步骤2多次（每次应用要求联系支持时）。
5. 关闭应用。
6. 启用飞行模式。
7. 打开应用。
8. 禁用飞行模式。
9. 点击“启动政府验证”。
10. 开始流程。

视频PoC: █████（已请求移除，因显示护照信息）

修复建议

确保应用在重新获得连接时重置状态？
请告知是否需要进一步信息。
致意，
Polem4rch

影响

任何用户都可以绕过支持要求，自行解锁账户。

时间线

• 2025年5月14日, 7:18am UTC: HackerOne分析师dexter确认报告正在审核中。
• 2025年5月14日, 7:20am UTC: 状态更改为“Pending program review”。
• 2025年5月19日, 6:46pm UTC: Tools for Humanity员工0xv2将状态更改为“Triaged”。
• 2025年5月19日, 6:48pm UTC: 0xv2评论表示工程团队正在调查修复。
• 2025年5月23日, 8:45pm UTC: Tools for Humanity奖励polem4rch 300美元赏金。
• 2025年5月23日, 8:51pm UTC: polem4rch请求披露报告。
• 2025年5月26日, 3:33pm UTC: vincent_tfh表示修复已准备，将在两周内发布，并讨论披露。
• 2025年6月24日, 8:14pm UTC: polem4rch再次询问披露事宜。
• 2025年6月30日, 11:17am UTC: vincent_tfh关闭报告，状态更改为“Resolved”。
• 2025年6月30日, 11:19am UTC: vincent_tfh请求披露报告。
• 2025年6月30日, 11:20am UTC: vincent_tfh披露报告。
• 2025年6月30日, 12:38pm UTC: polem4rch请求移除视频PoC，因显示护照信息。

报告详情

• 报告ID: #3136790
• 状态: 已解决
• 严重性: 低 (2.4)
• 披露时间: 2025年6月30日, 11:20am UTC
• 弱点: 业务逻辑错误
• CVE ID: 无
• 赏金: 300美元
• 账户详情: 无