苹果为系统ID验证严重漏洞 支付十万美元赏金
近日,苹果最近向印度漏洞研究人员Bhavuk Jain支付了100,000美元赏金,奖励其发现影响“使用Apple登录”系统的严重漏洞。该漏洞是Bhavuk上个月向苹果安全团队报告,目前苹果现在已修复此漏洞。
这个已修补的漏洞,可以使远程攻击者绕过身份验证,接管使用“使用Apple登录”选项注册的第三方服务和应用程序上的帐户。
去年,苹果公司在WWDC会议启动了“ 苹果ID ”登录第三方的保护隐私机制,该机制允许用户使用苹果ID注册第三方应用程序帐户,并且无需透露实际电子邮件地址。
Bhavuk Jain在向媒体表示,他发现的漏洞存在于Apple在启动过程中,与苹果服务器认证过程中。
对于那些不了解实际情况的用户,在服务器上通过“使用Apple登录”进行用户身份验证时,可以生成JSON Web令牌(JWT),其中就包含第三方应用程序发来确认登录用户身份的机密信息。
Bhavuk发现,尽管Apple会要求用户在发起请求之前,登录Apple帐户,但是并没有验证是否是同一个人在身份验证服务器请求JSON Web令牌(JWT)。
所以,该机制中缺少的验证问题,可能允许攻击者获取属于受害者的单独Apple ID,从而诱骗Apple服务器生成有效的JWT,最终导致受害者的身份信息被其他人从第三方获取。
Bhavuk表示:“我发现可以向JWT请求来自Apple的任何电子邮件ID,并且使用Apple公钥验证获取的令牌签名后,就可以登录。这意味攻击者可以通过链接获取任何Email ID 并通过访问权限伪造JWT,进而访问受害者帐户。”
即使在第三方服务中隐藏电子邮件ID,该漏洞仍然有效,并且黑客可以利用该漏洞利用受害者的Apple ID来注册新帐户。
Bhavuk还补充说:“此漏洞的影响非常严重,因为它可能导致整个帐户被黑客接管。”
现在许多开发人员已将Sign In与Apple集成在一起,因为这种方式可以帮助其他社交工具减少获客成本。
开发人员表示,尽管该漏洞存在于Apple代码端,但是用户“使用Apple登录”的服务和应用程序中并不受到影响,而且苹果公司现在已修复此漏洞。
雷锋网了解到,在发放奖金之后,苹果公司正在公司的服务器进行调查,从而确定过去因为该漏洞被影响和破坏的帐户。
需要注意的是,除了这次漏洞,本月早些时候德国达姆施塔特大学的研究人员检查了 MagicPairing 协议中,还发现了iOS、macOS 和它们之间的十个公开漏洞,这些漏洞至今尚未得到解决。
- 相关阅读:
-
窦靖童发文谈网络暴力 疑为去世女星木村花发声2020-05-25柘荣县富源工业区乍洋产业园匠造高效“微城市”2020-05-27前四个月宁德市利用外资大幅上升 合同外资比增4倍2020-05-25
- 新闻 娱乐 福建 篮球比分直播: 漳州 厦门
-
- 2025立春时间几时几分几秒 今年几点几分打春具体时间
2025-02-01 20:23 - 突发!一小型飞机在美国坠毁,多人死亡
2025-02-01 10:48 - 中东部大范围雨雪持续 明起冷空气来袭大部气温低迷
2025-02-01 10:44 - 乌克兰多个州遭空袭
2025-02-01 10:43 - 中国科研人员提出新方法 有望提高水稻等作物产量
2025-01-30 12:42 - 中东部较大范围雨雪天气上线 南方先暖后冷 全国天气一
2025-01-30 12:42 - 灵蛇献瑞 春满华夏 ——各地群众欢度篮球比分直播:
2025-01-30 12:36
- 2025立春时间几时几分几秒 今年几点几分打春具体时间
- 猜你喜欢:
-
苹果全新芯片比M4 Ultra更强 将率先登陆Mac Pro2025-01-15新能源车险高赔付风险分担机制落地2025-01-25【新春走基层】在“云下”守护“国之重器”2025-01-22
您需要登录后才可以评论, 登录| 注册
祝贺!我国最大“沙戈荒”光伏项目成功并网2024-12-19
闽南网推出专题报道,以图、文、视频等形式,展现篮球比分直播:在补齐养老事业短板,提升养老服