安基網 首頁 資訊 安全報 查看內容

Sign in with Apple被爆高危漏洞:可遠程劫持任意用戶帳號

2020-6-1 11:56| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 近日蘋果向印度漏洞安全研究專家Bhavuk Jain支付了高達10萬美元的巨額賞金,原因就是他報告了存在于Sign in with Apple中的嚴重高危漏洞。Sign in with Apple(通過Apple登錄),能讓你利用現有的Apple ID快速、輕松地登錄 App 和網站,目前按該漏洞已經修復。該漏洞允許遠程攻擊者繞過身份驗證,接管 ...

近日蘋果向印度漏洞安全研究專家Bhavuk Jain支付了高達10萬美元的巨額賞金,原因就是他報告了存在于Sign in with Apple中的嚴重高危漏洞。Sign in with Apple(通過Apple登錄),能讓你利用現有的Apple ID快速、輕松地登錄 App 和網站,目前按該漏洞已經修復。

該漏洞允許遠程攻擊者繞過身份驗證,接管目標用戶在第三方服務和應用中使用Sign in with Apple創建的帳號。在接受外媒The Hacker News采訪的時候,Bhavuk Jain表示在向蘋果的身份驗證服務器發出請求之前,蘋果客戶端驗證用戶方式上存在漏洞。

通過“Sign in with Apple”驗證用戶的時候,服務器會包含秘密信息的JSON Web Token(JWT),第三方應用會使用JWT來確認登錄用戶的身份。Bhavuk發現,雖然蘋果公司在發起請求之前要求用戶先登錄到自己的蘋果賬戶,但在下一步的驗證服務器上,它并沒有驗證是否是同一個人在請求JSON Web Token(JWT)。

因此,該部分機制中缺失的驗證可能允許攻擊者提供一個屬于受害者的單獨的蘋果ID,欺騙蘋果服務器生成JWT有效的有效載荷,以受害者的身份登錄到第三方服務中。Bhavuk表示:“我發現我可以向蘋果公司的任何Email ID請求JWT,當這些令牌的簽名用蘋果公司的公鑰進行驗證時,顯示為有效。這意味著,攻擊者可以通過鏈接任何Email ID來偽造JWT,并獲得對受害者賬戶的訪問權限。”

Bhavuk表示即使你選擇隱藏你的電子郵件ID,這個漏洞同樣能夠生效。即使你選擇向第三方服務隱藏你的電子郵件ID,也可以利用該漏洞用受害者的Apple ID注冊一個新賬戶。

Bhavuk補充道:“這個漏洞的影響是相當關鍵的,因為它可以讓人完全接管賬戶。許多開發者已經將Sign in with Apple整合到應用程序中,目前Dropbox、Spotify、Airbnb、Giphy(現在被Facebook收購)都支持這種登錄方式。”

Bhavuk在上個月負責任地向蘋果安全團隊報告了這個問題,目前該公司已經對該漏洞進行了補丁。除了向研究人員支付了bug賞金外,該公司在回應中還確認,它對他們的服務器日志進行了調查,發現該漏洞沒有被利用來危害任何賬戶。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6832853800441610766/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱 幸运赛车2019开奖结果 陕西福彩快乐十分真准网 股市行情大盘走势图 十一运夺金走势 深圳风采开奖日期 福律体彩36选7开奖结果 北京快乐8单双预测 正规的投资理财网站 腾讯分分彩计划最准软件 重庆快乐十分方位 甘肃快3开奖直播 b股上证指数代码 浙江11选五最大遗漏数据 湖北11选5专家号码推荐 通昭配资 上期开特下期必开16码