报告 #3136790 - 利用飞行模式无需官方支持解锁未成年人封锁应用

提交者: polem4rch
提交时间: 2025年5月9日 4:29 UTC
目标: Tools for Humanity

摘要

尊敬的Worldcoin团队：

在使用iOS应用时，我修改了应用中的出生日期为一个未成年人日期（如2015年1月1日），导致账户被锁定。应用此时仅允许通过联系支持团队来申请解锁账户。然而，通过启用飞行模式，应用会启用另一个选项，允许用户自行使用护照进行解锁。

需要明确的是，由于应用要求扫描护照RFID，而阿根廷护照（我的护照来源国）据报在此方面存在问题，RFID无法正常工作，因此我未能完成概念验证（POC）。视频POC中尝试扫描但未成功，故停止了进一步尝试。

关于此漏洞，当用户能够使用护照自行解锁账户时，我不确定这是否是坏事，除非：

• 这并非预期行为，因此你们将支持团队作为首选解决方案。

步骤

1. 将应用中的用户出生日期修改为未成年人日期，如2015年1月1日。
2. 关闭并重新打开应用。
3. 应用将要求用户联系支持团队。
4. 重复步骤2多次（每次应用要求联系支持时）。
5. 关闭应用。
6. 启用飞行模式。
7. 打开应用。
8. 禁用飞行模式。
9. 点击“启动政府验证”。
10. 开始流程。

视频POC: █████

修复建议

确保应用在任何时候重新获得连接时重置状态？

如有任何问题，请告知。

此致， Polem4rch

影响

任何用户都可以绕过支持要求，自行解锁账户。

时间线

• 2025年5月14日 7:18 UTC: HackerOne分析员dexter确认报告正在审核中。
• 2025年5月14日 7:20 UTC: 状态更改为“待项目审核”。
• 2025年5月19日 18:46 UTC: Tools for Humanity员工0xv2将状态更改为“已分类”。
• 2025年5月19日 18:48 UTC: 0xv2确认工程团队正在调查修复方案。
• 2025年5月23日 20:45 UTC: Tools for Humanity奖励polem4rch 300美元奖金。
• 2025年5月23日 20:51 UTC: polem4rch请求披露报告。
• 2025年5月26日 15:33 UTC: vincent_tfh告知修复方案已准备，将在两周内发布，并讨论披露事宜。
• 2025年6月24日 20:14 UTC: polem4rch再次询问披露事宜。
• 2025年6月30日 11:17 UTC: vincent_tfh关闭报告，状态更改为“已解决”。
• 2025年6月30日 11:19 UTC: vincent_tfh请求披露报告。
• 2025年6月30日 11:20 UTC: 报告被披露。
• 2025年6月30日 12:38 UTC: polem4rch请求移除视频POC，因护照信息被显示。

报告详情

• 报告ID: #3136790
• 严重性: 低（2.4）
• 弱点: 业务逻辑错误
• CVE ID: 无
• 奖金: 300美元
• 账户详情: 无