漏洞摘要
当iOS用户修改出生日期为未成年(如2015年)时,Worldcoin应用会锁定账户并要求联系客服解锁。但研究者发现通过以下步骤可绕过限制:
- 多次重复打开/关闭应用触发客服验证请求
- 开启飞行模式后重新打开应用
- 关闭飞行模式后点击"开始政府验证"
- 使用护照RFID完成自主解锁(阿根廷护照因技术问题未完成完整验证)
技术细节
- 漏洞类型:业务逻辑错误
- 影响版本:未披露的具体iOS版本
- 根本原因:应用在恢复网络连接时未重置验证状态
- 攻击前提:需物理接触设备并修改出生日期
时间线
- 2025-05-09:漏洞提交
- 2025-05-19:厂商确认漏洞(Triaged状态)
- 2025-05-23:发放300美元赏金
- 2025-06-30:漏洞修复完成并公开披露
修复建议
- 强制应用在恢复网络连接时重新验证账户状态
- 增加服务端年龄验证机制
- 对频繁的账户锁定操作实施速率限制