苹果为系统ID验证严重漏洞支付十万美元赏金

来源:雷锋网 2020-06-01 10:15 http://www.mnw.cn/

　　近日，苹果最近向印度漏洞研究人员Bhavuk Jain支付了100,000美元赏金，奖励其发现影响“使用Apple登录”系统的严重漏洞。该漏洞是Bhavuk上个月向苹果安全团队报告，目前苹果现在已修复此漏洞。

　　这个已修补的漏洞，可以使远程攻击者绕过身份验证，接管使用“使用Apple登录”选项注册的第三方服务和应用程序上的帐户。

　　去年，苹果公司在WWDC会议启动了“ 苹果ID ”登录第三方的保护隐私机制，该机制允许用户使用苹果ID注册第三方应用程序帐户，并且无需透露实际电子邮件地址。

　　Bhavuk Jain在向媒体表示，他发现的漏洞存在于Apple在启动过程中，与苹果服务器认证过程中。

　　对于那些不了解实际情况的用户，在服务器上通过“使用Apple登录”进行用户身份验证时，可以生成JSON Web令牌（JWT），其中就包含第三方应用程序发来确认登录用户身份的机密信息。

　　Bhavuk发现，尽管Apple会要求用户在发起请求之前，登录Apple帐户，但是并没有验证是否是同一个人在身份验证服务器请求JSON Web令牌（JWT）。

　　所以，该机制中缺少的验证问题，可能允许攻击者获取属于受害者的单独Apple ID，从而诱骗Apple服务器生成有效的JWT，最终导致受害者的身份信息被其他人从第三方获取。

　　Bhavuk表示：“我发现可以向JWT请求来自Apple的任何电子邮件ID，并且使用Apple公钥验证获取的令牌签名后，就可以登录。这意味攻击者可以通过链接获取任何Email ID 并通过访问权限伪造JWT，进而访问受害者帐户。”

　　即使在第三方服务中隐藏电子邮件ID，该漏洞仍然有效，并且黑客可以利用该漏洞利用受害者的Apple ID来注册新帐户。

　　Bhavuk还补充说：“此漏洞的影响非常严重，因为它可能导致整个帐户被黑客接管。”

　　现在许多开发人员已将Sign In与Apple集成在一起，因为这种方式可以帮助其他社交工具减少获客成本。

　　开发人员表示，尽管该漏洞存在于Apple代码端，但是用户“使用Apple登录”的服务和应用程序中并不受到影响，而且苹果公司现在已修复此漏洞。

　　雷锋网了解到，在发放奖金之后，苹果公司正在公司的服务器进行调查，从而确定过去因为该漏洞被影响和破坏的帐户。

　　需要注意的是，除了这次漏洞，本月早些时候德国达姆施塔特大学的研究人员检查了 MagicPairing 协议中，还发现了iOS、macOS 和它们之间的十个公开漏洞，这些漏洞至今尚未得到解决。

原标题：苹果为ID验证漏洞，支付十万美元赏金

责任编辑：李晓灵

相关阅读:: 窦靖童发文谈网络暴力疑为去世女星木村花发声2020-05-25

柘荣县富源工业区乍洋产业园匠造高效“微城市”2020-05-27

前四个月宁德市利用外资大幅上升合同外资比增4倍2020-05-25

德化牛母岐层林尽染五彩斑斓

猜你喜欢:: 更新、更远、“更懂你”，中国汽车加速“矩阵”出海2025-04-30

杜淳妻子回应没办婚礼：以前很向往现在不重要了2025-05-07

甘肃省纪委监委通报6起违反中央八项规定精神典型问题2025-04-28

苹果为系统ID验证严重漏洞 支付十万美元赏金