您现在的位置:主页 > 历史咨询 >
外媒称关键的 “通过 Apple 登录” 漏洞可能会让攻击

发布日期:2020-06-04 06:06   来源:未知   阅读:

据报道,苹果最近向印度的一位漏洞安全研究人员 Bhavuk Jain 支付了 10 万美元的巨额奖励,因为他向苹果报告了一个将影响 “通过 Apple 登录”(Sign in with Apple)功能的高危漏洞。

据了解,目前已经修复的这一漏洞可能会让远程攻击者绕过身份验证,接管目标用户在第三方服务和应用程序中使用 “通过 Apple 登录” 功能登录的账户。

在去年的 WWDC 大会上,苹果推出了该隐私保护登录机制,允许用户在不披露实际电子邮件地址(Apple ID)的情况下在第三方应用中注册新账户。

而据 Bhavuk Jain 透露,他发现的漏洞存在于向苹果的身份验证服务器发出请求之前的客户端验证用户方式上。在使用该功能进行身份验证时,服务器会生成 JSON Web Token(JWT),其中包含了第三方应用程序用来确认登录用户身份的秘密信息,而 Bhavuk 发现,尽管苹果要求用户在发起请求之前登录自己的 Apple 账户,但它并未验证下一步是否是同一个人在请求 JWT。因此,该机制的这一缺陷可能会允许攻击者通过提供属于受害者的单独 Apple ID 来欺骗苹果服务器生成有效的 JWT 负载,从而使用受害者的身份登录到第三方服务。此外,即使用户选择向第三方服务隐藏自己的电子邮件 ID,该漏洞同样有效。

Bhavuk 表示,这个漏洞可能会造成相当严重的影响,因为它允许对账户的完全接管,而许多第三方软件都已经将 “通过 Apple 登录” 整合到应用程序中,如 Dropbox、Spotify、Airbnb 等。他在上个月向苹果安全团队报告了这个问题,现在苹果已经修复了这个漏洞。

除了向研究人员进行奖励外,苹果还表示他们已经对服务器日志进行了调查,该漏洞还没有被利用来对任何账户造成危害。

最新文章
阅读排行

Power by DedeCms