0
| 本文作者: 張帥 | 2020-06-01 07:29 |
【 圖片來源:thehackernews.com 所有者:thehackernews.com 】
據(jù)外媒報道,蘋果最近向印度漏洞研究人員Bhavuk Jain支付了10萬美元的巨額賞金,以獎勵其發(fā)現(xiàn)的iOS系統(tǒng)中“使用Apple登錄”( Sign in with Apple)的嚴重漏洞。
蘋果方面現(xiàn)在已修補漏洞,該漏洞可使遠程攻擊者繞過身份驗證,并接管使用“使用Apple登錄”選項注冊的第三方服務(wù)和應(yīng)用程序上目標(biāo)用戶的帳戶。
去年在蘋果公司的WWDC會議上啟動的“使用Apple登錄”功能,作為保護隱私登錄機制被引入iOS系統(tǒng),該機制允許用戶使用第三方應(yīng)用程序注冊帳戶,而無需透露其實際電子郵件地址(也用作蘋果ID)。
Bhavuk Jain 在接受采訪時透露,他發(fā)現(xiàn)的漏洞存在于Apple啟動來自蘋果認證服務(wù)器的請求之前,在客戶端上驗證用戶的過程中。
對于那些不知道的用戶,服務(wù)器在通過“使用Apple登錄”對用戶進行身份驗證時,會生成JSON Web令牌(JWT),其中包含第三方應(yīng)用程序用來確認登錄用戶身份的機密信息。
Bhavuk發(fā)現(xiàn),盡管Apple要求用戶在發(fā)起請求之前先登錄其Apple帳戶,但并未驗證是否是同一個人,在下一步從身份驗證服務(wù)器請求JSON Web令牌(JWT)。
【 圖片來源:thehackernews.com 所有者:thehackernews.com 】
因此,該機制缺少的驗證可能允許攻擊者提供屬于受害者單獨的Apple ID,從而誘騙Apple服務(wù)器生成有效的JWT有效負載,該有效負載可以使用受害者的身份登錄到第三方服務(wù)。
“我發(fā)現(xiàn)我可以向JWT請求來自Apple的任何電子郵件ID,當(dāng)使用Apple的公鑰驗證了這些令牌的簽名后,它們就顯示為有效。這意味著攻擊者可以通過鏈接任何Email ID并獲得訪問權(quán)限來偽造JWT,從而獲得受害者的帳戶。”
研究人員證實,即使用戶選擇從第三方服務(wù)中隱藏電子郵件ID,該漏洞仍然有效,并且該漏洞還可以利用受害者的Apple ID來注冊新帳戶。
“此漏洞的影響非常嚴重,因為它可能會導(dǎo)致整個帳戶被接管。許多開發(fā)人員已將“使用Apple登錄”集成在一起,因為對于支持其他社交登錄的應(yīng)用程序來說,它是強制性的。舉幾個使用“使用Apple登錄”的用戶為例- Dropbox,Spotify,Airbnb,Giphy(現(xiàn)已被Facebook收購)。” Bhavuk補充說。
盡管該漏洞存在于Apple端代碼,但研究人員表示,某些向其用戶提供“使用Apple登錄”的服務(wù)和應(yīng)用程序可能已經(jīng)在使用二次身份驗證功能,從而可以緩解用戶登錄中的漏洞問題。
Bhavuk上個月向蘋果安全團隊報告了此問題,該公司現(xiàn)在已修復(fù)此漏洞。作為回應(yīng),除了向研究人員支付賞金之外,蘋果公司還確認已對他們的服務(wù)器日志進行了調(diào)查,發(fā)現(xiàn)該漏洞并未被利用來破壞任何帳戶。(雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng))
雷鋒網(wǎng)編譯,via thehackernews
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
