網(wǎng)絡(luò)消費(fèi)網(wǎng) >  綜合 > > 正文
“登陸蘋果賬號(hào)”被爆高危漏洞:可遠(yuǎn)程劫持任意用戶帳號(hào) 目前已修復(fù)
時(shí)間:2020-06-01 14:43:38

近日蘋果向印度漏洞安全研究專家Bhavuk Jain支付了高達(dá)10萬美元的巨額賞金,原因就是他報(bào)告了存在于Sign in with Apple中的嚴(yán)重高危漏洞。Sign in with Apple(通過Apple登錄),能讓你利用現(xiàn)有的Apple ID快速、輕松地登錄 App 和網(wǎng)站,目前按該漏洞已經(jīng)修復(fù)。

該漏洞允許遠(yuǎn)程攻擊者繞過身份驗(yàn)證,接管目標(biāo)用戶在第三方服務(wù)和應(yīng)用中使用Sign in with Apple創(chuàng)建的帳號(hào)。在接受外媒The Hacker News采訪的時(shí)候,Bhavuk Jain表示在向蘋果的身份驗(yàn)證服務(wù)器發(fā)出請求之前,蘋果客戶端驗(yàn)證用戶方式上存在漏洞。

通過“Sign in with Apple”驗(yàn)證用戶的時(shí)候,服務(wù)器會(huì)包含秘密信息的JSON Web Token(JWT),第三方應(yīng)用會(huì)使用JWT來確認(rèn)登錄用戶的身份。Bhavuk發(fā)現(xiàn),雖然蘋果公司在發(fā)起請求之前要求用戶先登錄到自己的蘋果賬戶,但在下一步的驗(yàn)證服務(wù)器上,它并沒有驗(yàn)證是否是同一個(gè)人在請求JSON Web Token(JWT)。

因此,該部分機(jī)制中缺失的驗(yàn)證可能允許攻擊者提供一個(gè)屬于受害者的單獨(dú)的蘋果ID,欺騙蘋果服務(wù)器生成JWT有效的有效載荷,以受害者的身份登錄到第三方服務(wù)中。Bhavuk表示:“我發(fā)現(xiàn)我可以向蘋果公司的任何Email ID請求JWT,當(dāng)這些令牌的簽名用蘋果公司的公鑰進(jìn)行驗(yàn)證時(shí),顯示為有效。這意味著,攻擊者可以通過鏈接任何Email ID來偽造JWT,并獲得對(duì)受害者賬戶的訪問權(quán)限。”

Bhavuk表示即使你選擇隱藏你的電子郵件ID,這個(gè)漏洞同樣能夠生效。即使你選擇向第三方服務(wù)隱藏你的電子郵件ID,也可以利用該漏洞用受害者的Apple ID注冊一個(gè)新賬戶。

Bhavuk補(bǔ)充道:“這個(gè)漏洞的影響是相當(dāng)關(guān)鍵的,因?yàn)樗梢宰屓送耆庸苜~戶。許多開發(fā)者已經(jīng)將Sign in with Apple整合到應(yīng)用程序中,目前Dropbox、Spotify、Airbnb、Giphy(現(xiàn)在被Facebook收購)都支持這種登錄方式。”

Bhavuk在上個(gè)月負(fù)責(zé)任地向蘋果安全團(tuán)隊(duì)報(bào)告了這個(gè)問題,目前該公司已經(jīng)對(duì)該漏洞進(jìn)行了補(bǔ)丁。除了向研究人員支付了bug賞金外,該公司在回應(yīng)中還確認(rèn),它對(duì)他們的服務(wù)器日志進(jìn)行了調(diào)查,發(fā)現(xiàn)該漏洞沒有被利用來危害任何賬戶。

關(guān)鍵詞: 蘋果賬號(hào)

版權(quán)聲明:
    凡注明來網(wǎng)絡(luò)消費(fèi)網(wǎng)的作品,版權(quán)均屬網(wǎng)絡(luò)消費(fèi)網(wǎng)所有,未經(jīng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權(quán)使用作品的,應(yīng)在授權(quán)范圍內(nèi)使用,并注明"來源:網(wǎng)絡(luò)消費(fèi)網(wǎng)"。違反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任。
    除來源署名為網(wǎng)絡(luò)消費(fèi)網(wǎng)稿件外,其他所轉(zhuǎn)載內(nèi)容之原創(chuàng)性、真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請讀者僅作參考并自行核實(shí)。
熱文

網(wǎng)站首頁 |網(wǎng)站簡介 | 關(guān)于我們 | 廣告業(yè)務(wù) | 投稿信箱
 

Copyright © 2000-2020 m.netfop.cn All Rights Reserved.
 

中國網(wǎng)絡(luò)消費(fèi)網(wǎng) 版權(quán)所有 未經(jīng)書面授權(quán) 不得復(fù)制或建立鏡像
 

聯(lián)系郵箱:920 891 263@qq.com

備案號(hào):京ICP備2022016840號(hào)-15

營業(yè)執(zhí)照公示信息