Sécurité : Vulnérabilité D'exploitation Publicitaire Headless

by fritz-hansen 62 views

Salut les geeks de la sécurité et les développeurs ! Aujourd'hui, on plonge dans un sujet chaud bouillant qui concerne directement l'écosystème des publicités en ligne, plus précisément une faille critique découverte dans le backend de Kickbacks. Les gars d'andrewmccalip et kickbacks.ai, vous feriez bien de jeter un œil attentif ici. On parle de vulnérabilités de sécurité graves qui permettent une exploitation publicitaire headless sans précédent. Imaginez : des fermes d'ad views qui tournent 24h/24 et 7j/7, entièrement automatisées, sans qu'un seul humain ne lève le petit doigt. C'est pas de la science-fiction, c'est une réalité rendue possible par des failles dans l'API backend et le flux d'authentification de Kickbacks. Un script proof-of-concept, baptisé kickback.js, existe déjà et démontre la pleine automatisation de cette exploitation. Accrochez-vous, car ça décoiffe !

Les Profondeurs des Vulnérabilités : Un Plongeon Technique

Alors, comment est-ce que cette exploitation publicitaire headless fonctionne, vous demandez-vous ? Eh bien, c'est une combinaison astucieuse de plusieurs failles qui, une fois assemblées, créent une véritable autoroute pour les fraudeurs. Attaquons-nous aux détails techniques, car c'est là que réside la magie noire (et malveillante).

1. Contournement de l'Authentification Headless et du Stockage d'État

Le premier maillon faible, et non des moindres, se trouve dans le flux d'authentification OAuth par code d'appareil, spécifiquement les endpoints /v1/auth/extension/start et /v1/auth/extension/poll. Le problème, c'est que la validation côté client est extrêmement laxiste. Un attaquant malin peut lancer ce processus de connexion depuis une simple ligne de commande, dans un terminal classique. Une fois l'authentification effectuée manuellement dans un navigateur (une étape que le script peut déclencher ou guider), l'attaquant peut ensuite utiliser l'endpoint /v1/auth/extension/poll pour intercepter les précieux tokens d'accès (access_token) et de rafraîchissement (refresh_token). Ces tokens, une fois en leur possession, peuvent être stockés localement. Que ce soit via des mécanismes comme libsecret (souvent utilisé pour stocker des secrets de manière sécurisée sur les systèmes Linux) ou simplement dans un fichier auth.json peu sécurisé, ces tokens permettent de simuler une installation légitime de l'extension VS Code. C'est un peu comme voler les clés de la maison sans avoir à casser la porte. Ils ont les clés, ils entrent, et ils font ce qu'ils veulent. L'absence de vérification robuste de l'environnement d'origine de ces tokens est le point de départ de toute cette chaîne d'exploitation.

2. Récupération Non Protégée du Portfolio Publicitaire et Usurpation d'Environnement

Une fois qu'un attaquant a réussi à obtenir ces précieux tokens, l'étape suivante consiste à accéder au contenu publicitaire. C'est là qu'intervient l'endpoint /v1/portfolio. Le hic ? Cet endpoint ne demande pas une attestation d'environnement suffisamment robuste. Autrement dit, il est trop facile de lui faire croire n'importe quoi. L'API accepte des paramètres arbitraires, comme claude_code_version=unknown, ce qui est déjà suspect en soi. Mais le plus gros problème réside dans le fait qu'elle se fie à des informations facilement falsifiables, comme l'en-tête extension_version ou un paramètre portant le même nom. Dans un scénario d'exploitation headless, un attaquant peut simplement injecter une version bidon, du type unknown ou toute autre valeur qui passe le filtre initial, pour tromper le système. Il n'y a pas de vérification cryptographique ou de signature qui prouverait que la requête provient bien de l'extension VS Code légitime. C'est comme si un garde demandait votre carte d'identité, mais acceptait n'importe quel bout de papier plié comme preuve. L'abus est donc flagrant et ouvre la porte à la prochaine étape : l'injection de fausses données.

3. Falsification de la Télémétrie et des Métriques Publicitaires

C'est probablement l'aspect le plus vicieux de cette exploitation publicitaire headless. L'endpoint /v1/metrics est celui qui enregistre les interactions avec les publicités. Le problème fondamental ici est qu'il fait implicitement confiance aux événements fournis par le client, sans aucune preuve cryptographique de rendu d'interface utilisateur réelle. L'attaquant peut donc simuler programmatiquement toutes les interactions nécessaires pour faire croire qu'une publicité a été vue. Voici comment le script d'exploit garantit le succès de la validation API :

  • Génération de Nonces Fraîches : Chaque requête de métrique utilise un nouvel identifiant unique universel (UUID) comme nonce. Cela empêche la réutilisation ou la détection de patterns basiques.
  • Timestamps Précis et Spoofés : L'attaquant envoie des timestamps (ts) exacts, calculés à la milliseconde près, pour correspondre à une activité humaine réaliste (ou du moins, à ce qu'un système automatisé pense être réaliste).
  • Simulation des Interactions UI : Le script envoie une séquence d'événements qui imite le cycle de vie d'une impression publicitaire vue :
    • impression_rendered : La publicité est censée être affichée.
    • impression_viewable : La publicité devient visible à l'écran.
    • view_ticks : Des