近日,一位开发者在OpenAI官方社区发布安全报告,指出iOS版ChatGPT的订阅校验存在逻辑漏洞。

漏洞原理

报告指出,OpenAI后端在验证Apple Pay收据时存在缺陷:

  • 会校验收据签名是否合法。
  • 会校验请求中的用户令牌(auth token)是否有效。
  • 但未核验购买收据的Apple ID与开通Plus的OpenAI账号是否为同一人。

这被比喻为“店员只检查小票真伪,却不核对持票人身份”。

影响与利用路径

受影响的是ChatGPT iOS应用及后端订阅升级接口。据报告引用的中文资料描述,利用路径如下:

  1. 使用土耳其区Apple ID低价购买ChatGPT Plus(月费约499土耳其里拉)。
  2. 通过本地代理工具(如mitmproxy)拦截应用发送给OpenAI的收据数据。
  3. 使用该收据反复调用订阅接口,即可为多个不同的OpenAI账号开通Plus服务。

报告指出,这可能是闲鱼等平台低价代充服务的来源。

现状与建议

OpenAI目前尚未对此报告做出公开回应。报告也未提供完整的漏洞复现细节,真实性有待进一步验证。报告同时给出了安全缓解建议,包括将收据绑定购买者身份、强制收据单次使用等。


🔥 实时行情点位,群内抢先看!

进群蹲精准做单提示→青岚免费交易社群 (电报)

以上仅为青岚姐个人观点,不作为投资建议,交易需谨慎|本文由青岚加密课堂整理优化