[PConline 资讯]使用过苹果产品的朋友大多知道,通过Sign in with Apple,用户可利用现有的Apple ID快速轻松地登录App和网站。然而就在近日,印度漏洞安全研究专家Bhavuk Jain,发现了存在于Sign in with Apple中的严重高危漏洞。 目前,该漏洞已经得到修复,苹果也为此向Bhavuk Jain支付了高达10万美元的巨额赏金。进一步了解得知,此漏洞允许远程攻击者绕过身份验证,接管目标用户在第三方服务和应用中使用Sign in with Apple创建的帐号。 对此,Bhavuk Jain表示在向苹果的身份验证服务器发出请求之前,苹果客户端验证用户方式上存在漏洞。通过“Sign in with Apple”验证用户时,服务器会包含秘密信息的JSON Web Token(JWT),第三方应用会使用JWT来确认登录用户的身份。 Bhavuk发现,虽然苹果公司在发起请求之前要求用户先登录到自己的苹果账户,但在下一步的验证服务器上,却并没有验证是否是同一个人在请求JSON Web Token(JWT)。因此,该机制中缺失的验证可能允许攻击者提供一个属于受害者的单独的苹果ID,欺骗苹果服务器生成JWT有效的有效载荷,以受害者的身份登录到第三方服务中。 据Bhavuk介绍:“我发现自己可以向苹果公司的任何Email ID请求JWT,当这些令牌的签名用苹果公司的公钥进行验证时,显示为有效。这意味着攻击者可以通过链接任何Email ID来伪造JWT,并获得对受害者账户的访问权限。” 即使用户选择隐藏自己的电子邮件ID,这个漏洞同样能够生效;选择向第三方服务隐藏你的电子邮件ID,也可以利用该漏洞用受害者的Apple ID注册一个新账户。“这个漏洞的影响是相当关键的,因为它可以让人完全接管账户。许多开发者已经将Sign in with Apple整合到应用程序中,目前Dropbox、Spotify、Airbnb、Giphy(现在被Facebook收购)都支持这种登录方式”,Bhavuk补充道。 实际上,这个漏洞的关键影响是它可以让不法分子完全接管账户。许多开发者已经将Sign in with Apple整合到应用程序中,目前Dropbox、Spotify、Airbnb、Giphy都支持这种登录方式。目前,苹果公司已经修补了漏洞,除了向Bhavuk支付赏金外,还在回应中确认漏洞对他们的服务器日志进行了调查,发现该漏洞没有被利用来危害任何账户。 |
正在阅读:这个高危漏洞让苹果花了10万美元用来“打点”这个高危漏洞让苹果花了10万美元用来“打点”
2020-06-03 00:15
出处:PConline原创
责任编辑:sunziyi
热门排行
IT百科
热门专题
网络设备论坛帖子排行
最高点击
最高回复
最新
-
1157次
这个路由太牛皮,三步搭建虚拟局域网,接上U盘就是NAS
1 -
32次
深圳市威圻商贸旗下品牌懒豆豆lazypeas3c数码配件追求素洁而不俗
2 -
30次
200G光互连解决方案——DSP与全模拟架构解析
3 -
29次
信号差?网络卡?下载慢?猜你少了这个!
4 -
28次
5G工业网关在智能工厂的应用案例
5 -
27次
基于5G/4G网关的冷冻设备远程监测及故障预警系统
6 -
26次
解析华为SFP-GE-LX-SM1310千兆单模光模块
7 -
26次
吴牧野加入台湾抗疫线上音乐会,演奏原创钢琴曲《缘》,两岸一家情谊浓浓
8 -
26次
众至下一代防护墙大数据分析图表化Dashboard数据往来一目了然
9 -
24次
看哪些明星不吸烟! 世界无烟日海报发布
10
最新资讯离线随时看
聊天吐槽赢奖品