[PConline 资讯]使用过苹果产品的朋友大多知道,通过Sign in with Apple,用户可利用现有的Apple ID快速轻松地登录App和网站。然而就在近日,印度漏洞安全研究专家Bhavuk Jain,发现了存在于Sign in with Apple中的严重高危漏洞。
目前,该漏洞已经得到修复,苹果也为此向Bhavuk Jain支付了高达10万美元的巨额赏金。进一步了解得知,此漏洞允许远程攻击者绕过身份验证,接管目标用户在第三方服务和应用中使用Sign in with Apple创建的帐号。
对此,Bhavuk Jain表示在向苹果的身份验证服务器发出请求之前,苹果客户端验证用户方式上存在漏洞。通过“Sign in with Apple”验证用户时,服务器会包含秘密信息的JSON Web Token(JWT),第三方应用会使用JWT来确认登录用户的身份。
Bhavuk发现,虽然苹果公司在发起请求之前要求用户先登录到自己的苹果账户,但在下一步的验证服务器上,却并没有验证是否是同一个人在请求JSON Web Token(JWT)。因此,该机制中缺失的验证可能允许攻击者提供一个属于受害者的单独的苹果ID,欺骗苹果服务器生成JWT有效的有效载荷,以受害者的身份登录到第三方服务中。
据Bhavuk介绍:“我发现自己可以向苹果公司的任何Email ID请求JWT,当这些令牌的签名用苹果公司的公钥进行验证时,显示为有效。这意味着攻击者可以通过链接任何Email ID来伪造JWT,并获得对受害者账户的访问权限。”
即使用户选择隐藏自己的电子邮件ID,这个漏洞同样能够生效;选择向第三方服务隐藏你的电子邮件ID,也可以利用该漏洞用受害者的Apple ID注册一个新账户。“这个漏洞的影响是相当关键的,因为它可以让人完全接管账户。许多开发者已经将Sign in with Apple整合到应用程序中,目前Dropbox、Spotify、Airbnb、Giphy(现在被Facebook收购)都支持这种登录方式”,Bhavuk补充道。
实际上,这个漏洞的关键影响是它可以让不法分子完全接管账户。许多开发者已经将Sign in with Apple整合到应用程序中,目前Dropbox、Spotify、Airbnb、Giphy都支持这种登录方式。目前,苹果公司已经修补了漏洞,除了向Bhavuk支付赏金外,还在回应中确认漏洞对他们的服务器日志进行了调查,发现该漏洞没有被利用来危害任何账户。
向日葵 C2 计电量版 智能插座 黑色
¥44
¥49
GoPro HERO12 Black 运动相机 标准套装
RAZER 雷蛇 天狼星 幻彩版 2.0声道 桌面 多媒体音箱 黑色
HONOR 荣耀 平板MagicPad 13英寸 8扬声器 144Hz高刷护眼 2.8K超清 移动办公影音娱乐平板 WIFI 512GB 月色
Anker 安克 A2674 67W 三口氮化镓充电器
Beelink 零刻 SER5 Pro mini电脑主机(R7-5800H、准系统)
acer 宏碁 掠夺者.擎 Neo 十三代酷睿版 16.0英寸 游戏本 黑色酷睿i5-13500HX
ThundeRobot 雷神 黑武士LQ27F180 27英寸IPS显示器(2560*1440、180Hz、99%sRGB)
AKOS 阿考斯 BC98 三模热插拔 无线机械键盘(AKOS轴、PBT、RGB背光)
网友评论