首页 体育 教育 财经 社会 娱乐 军事 国内 科技 互联网 房产 国际 女人 汽车 游戏

苹果为ID验证漏洞,支付十万美元赏金

(来源:网站编辑 2020-06-03 09:30)
文章正文

近日,apple最近向India漏洞研究人员Bhavuk Jain支付了100,000美元赏King,奖励其发现影响“ useApple登录 ”系统的严重漏洞。该漏洞是Bhavuk上个月向apple安全团队报告,目前applenow已Hugh复此漏洞。

this已Hugh补的漏洞,可以使远程攻击者绕过身份验证,接管use“useApple登录”选项注册的第三方服务和应用程序上的帐户

去年,apple公司在WWDC会议启动了“ appleID ”登录第三方的保护隐私机制,该机制允许用户useappleID注册第三方应用程序帐户,并且无需透露实际email地址。

Bhavuk Jain 在向媒体表示,他发现的漏洞存在于Apple在启动过程中,与apple服务器认证过程中。

对于那些不了解实际情况的用户,在服务器上通过“useApple登录”进行用户身份验证时,可以生成JSON Web令牌(JWT),其中就包含第三方应用程序发来确认登录用户身份的机密信息。

Bhavuk发现,尽管Apple会要求用户在发起请求之前,登录Apple帐户,but并没有验证是否是同一个人在身份验证服务器请求JSON Web令牌(JWT)。

所以,该机制中缺少的验证问题,可能允许攻击者获取属于受害者的单独Apple ID,从而诱骗Apple服务器生成有效的JWT,最终导致受害者的身份信息被其他人从第三方获取。

Bhavuk表示:“我发现可以向JWT请求fromApple的任何emailID,并且useApple公钥验证获取的令牌签名后,就可以登录。这意味攻击者可以通过链接获取任何Email ID 并通过访问权限伪造JWT,进而访问受害者帐户。”

即使在第三方服务中hideemailID,该漏洞仍然有效,并且黑客可以利用该漏洞利用受害者的Apple ID来注册新帐户。

Bhavuk还补充说:“此漏洞的影响非常严重,because它可能导致整个帐户被黑客接管。”

now许多开发人员已将Sign In与Apple集成在直到gether,because这种方式可以help其他社交工具减少获客成本。

开发人员表示,尽管该漏洞存在于Apple代码端,but用户“useApple登录”的服务和应用程序中并不受到影响,而且apple公司now已Hugh复此漏洞。

雷锋网了解到,在发放奖King之后,apple公司正在公司的服务器进行调查,从而确定过去because该漏洞被影响和破坏的帐户。

需要注意的是,除了这次漏洞,本月早些时候Ger男人y达姆施塔特大学的研究人员检查了 麦格icPairing 协议中,还发现了iOS、macOS 和它们之间的十个公开漏洞,these漏洞至今尚未得到解决。

文章评论
首页
评论
分享
Top