Apple登录中的一个现已修补的漏洞使攻击者可以访问链接的第三方服务上的用户帐户。该漏洞是由研究员BhavukJain发现的,他通过公司的漏洞赏金计划向苹果报告了该问题。正如《黑客新闻》详细介绍的那样,该漏洞依赖于苹果“在从苹果的身份验证服务发起请求之前,先在客户端验证用户”的方式。“使用Apple登录”身份验证过程由服务器生成一个JSONWeb令牌,第三方应用程序使用该Web令牌来确认用户的赔偿。
该漏洞伪造了一个令牌,并欺骗了Apple的身份验证过程:Bhavuk发现,尽管Apple要求用户在发起请求之前先登录其Apple帐户,但并未验证同一个人是否在下一步中请求JSONWeb令牌(JWT)。从其身份验证服务器。
因此,该机制该部分中缺少的验证可能使攻击者能够提供属于受害者的单独的AppleID,从而诱使Apple服务器生成有效的JWT有效载荷,该有效载荷可以使用受害者的身份登录到第三方服务。
该漏洞的影响可能允许使用使用Apple登录功能的第三方服务进行帐户接管,除非第三方应用在验证用户时采取了其他安全措施。
“此漏洞的影响非常关键,因为它可能允许完全收购帐户。由于对于支持其他社交登录的应用程序是强制性的,因此许多开发人员已将“登录”与Apple集成在一起。列举几个使用“与Apple登录”的人-Dropbox,Spotify,Airbnb,Giphy(现已被Facebook收购),”Jain写道。
在Jain报告了该漏洞之后,Apple修复了该问题,并根据其漏洞赏金计划向该研究人员支付了100,000美元。苹果表示,它调查了服务器日志,没有发现证据表明该漏洞是在野外利用的。
在此需要澄清的重要一点是,该漏洞不允许访问受影响的Apple帐户。它将允许用户通过使用Apple登录登录来访问用户访问的第三方服务。您可以在Jain的博客上阅读详细报告此漏洞的完整报告。
苹果去年在WWDC上首次与Apple签约。它允许用户使用其AppleID登录第三方服务,并使用面部识别和TouchID等生物识别技术进行身份验证。该平台的最大优势之一是一项功能,该功能使用户可以从第三方服务中隐藏其电子邮件地址。
免责声明:本文由用户上传,如有侵权请联系删除!
