安基網 首頁 資訊 安全報 查看內容

白帽黑客發現蘋果登錄漏洞獲10萬美元獎勵

2020-6-4 13:13| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 蘋果是一款加強隱私保護的工具,它允許用戶登錄第三方應用程序,而無需透露他們的電子郵件地址,只是修復了一個漏洞,使攻擊者有可能未經授權訪問這些帳戶。

原標題:修復了一個可能讓黑客完全進入用戶賬戶的漏洞

蘋果是一款加強隱私保護的工具,它允許用戶登錄第三方應用程序,而無需透露他們的電子郵件地址,只是修復了一個漏洞,使攻擊者有可能未經授權訪問這些帳戶。

應用程序開發者巴烏克·賈恩周日寫道:“在4月份,我發現蘋果公司有一個零日登錄系統,影響了使用該系統的第三方應用程序,而這些應用程序并沒有實施自己的額外安全措施。”“這個漏洞可能會導致完全接管第三方應用程序的用戶帳戶,而不管受害者是否擁有有效的蘋果ID。”

根據蘋果公司的漏洞獎勵計劃,杰恩私下向蘋果公司報告了這一漏洞,并獲得了高達10萬美元的獎勵。在蘋果更新登錄服務以修補漏洞后,開發者分享了詳細信息。

“與蘋果簽約”于去年10月首次亮相,是一種更簡單、更安全、更私密的登錄應用程序和網站的方式。許多第三方iOS和iPadOS應用程序都要求用戶可以選擇與蘋果公司簽約,面對這一要求,許多備受矚目的服務公司委托大量敏感用戶數據使用,采用了這一方式。

iPhone和iPad用戶無需使用社交媒體賬號或電子郵件地址、填寫網絡表格和選擇特定賬號的密碼,只需點擊一個按鈕,就可以使用Face ID、Touch ID或設備密碼登錄。這個漏洞讓用戶看到了他們的第三方賬戶被完全劫持的可能性。

登錄服務的工作方式類似于OAuth 2.0標準,它通過使用jwt (JSON Web tokent的縮寫)或Apple服務器生成的代碼登錄用戶。在后一種情況下,代碼用于生成JWT。蘋果用戶可以選擇與第三方共享蘋果電子郵件ID,也可以選擇隱藏該ID。當用戶隱藏ID時,蘋果會創建一個JWT,其中包含一個特定于用戶的中繼ID。

“我發現我可以向JWTs索要任何來自蘋果的電子郵件ID,當這些令牌的簽名使用蘋果的公鑰進行驗證時,它們顯示是有效的,”Jain寫道。“這意味著攻擊者可以通過將任何電子郵件ID鏈接到JWT,并獲得受害者賬戶的訪問權,從而偽造JWT。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:http://www.chinapeace.org.cn/keji/202006/0337751.html

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱 神测网幸运28公认最准 后三组选包胆什么计算得54注呢 山东省十一选五开奖结果五 黑龙江省36选7走势图 五分快三走势图怎么看 今天快三开奖江西 香港五分彩怎么玩稳赚 快乐十分app官方下载 河北11选5一定牛 河北20选5开奖结 辽宁快乐12走势图 期货配资非法经营罪案例 十一运夺金选号技巧 20选5开奖结果走势图 股票权重是什么 澳洲幸运5微信群玩