Vulnerabilidad en Okta Verify (CVE-2024-10327)

Una vulnerabilidad en Okta Verify para las versiones iOS 9.25.1 (beta) y 9.27.0 (incluida la beta) permite respuestas de notificaciones push a través de la función ContextExtension de iOS, lo que permite que la autenticación continúe independientemente de la selección del usuario. Cuando un usuario presiona prolongadamente el banner de notificación y selecciona una opción, ambas opciones permiten que la autenticación se realice correctamente. La función ContextExtension es uno de los varios mecanismos push disponibles al usar Okta Verify Push en dispositivos iOS. Los flujos vulnerables incluyen: * Cuando a un usuario se le presenta una notificación en una pantalla bloqueada, el usuario presiona la notificación directamente y selecciona su respuesta sin desbloquear el dispositivo; * Cuando a un usuario se le presenta una notificación en la pantalla de inicio y arrastra la notificación hacia abajo y selecciona su respuesta; * Cuando se usa un Apple Watch para responder directamente a una notificación. Una condición previa para esta vulnerabilidad es que el usuario debe haberse registrado en Okta Verify mientras el cliente de Okta usaba Okta Classic. Esto se aplica independientemente de si la organización se ha actualizado desde entonces a Okta Identity Engine.