0
| 本文作者: 劉海濤 | 2020-05-31 22:39 |
雷鋒網(wǎng)消息,近日,蘋(píng)果最近向印度漏洞研究人員Bhavuk Jain支付了100,000美元賞金,獎(jiǎng)勵(lì)其發(fā)現(xiàn)影響“ 使用Apple登錄 ”系統(tǒng)的嚴(yán)重漏洞。該漏洞是Bhavuk上個(gè)月向蘋(píng)果安全團(tuán)隊(duì)報(bào)告,目前蘋(píng)果現(xiàn)在已修復(fù)此漏洞。
這個(gè)已修補(bǔ)的漏洞,可以使遠(yuǎn)程攻擊者繞過(guò)身份驗(yàn)證,接管使用“使用Apple登錄”選項(xiàng)注冊(cè)的第三方服務(wù)和應(yīng)用程序上的帳戶(hù)。
去年,蘋(píng)果公司在WWDC會(huì)議啟動(dòng)了“ 蘋(píng)果ID ”登錄第三方的保護(hù)隱私機(jī)制,該機(jī)制允許用戶(hù)使用蘋(píng)果ID注冊(cè)第三方應(yīng)用程序帳戶(hù),并且無(wú)需透露實(shí)際電子郵件地址。
Bhavuk Jain 在向媒體表示,他發(fā)現(xiàn)的漏洞存在于Apple在啟動(dòng)過(guò)程中,與蘋(píng)果服務(wù)器認(rèn)證過(guò)程中。
對(duì)于那些不了解實(shí)際情況的用戶(hù),在服務(wù)器上通過(guò)“使用Apple登錄”進(jìn)行用戶(hù)身份驗(yàn)證時(shí),可以生成JSON Web令牌(JWT),其中就包含第三方應(yīng)用程序發(fā)來(lái)確認(rèn)登錄用戶(hù)身份的機(jī)密信息。
Bhavuk發(fā)現(xiàn),盡管Apple會(huì)要求用戶(hù)在發(fā)起請(qǐng)求之前,登錄Apple帳戶(hù),但是并沒(méi)有驗(yàn)證是否是同一個(gè)人在身份驗(yàn)證服務(wù)器請(qǐng)求JSON Web令牌(JWT)。
所以,該機(jī)制中缺少的驗(yàn)證問(wèn)題,可能允許攻擊者獲取屬于受害者的單獨(dú)Apple ID,從而誘騙Apple服務(wù)器生成有效的JWT,最終導(dǎo)致受害者的身份信息被其他人從第三方獲取。
Bhavuk表示:“我發(fā)現(xiàn)可以向JWT請(qǐng)求來(lái)自Apple的任何電子郵件ID,并且使用Apple公鑰驗(yàn)證獲取的令牌簽名后,就可以登錄。這意味攻擊者可以通過(guò)鏈接獲取任何Email ID 并通過(guò)訪問(wèn)權(quán)限偽造JWT,進(jìn)而訪問(wèn)受害者帳戶(hù)。”
即使在第三方服務(wù)中隱藏電子郵件ID,該漏洞仍然有效,并且黑客可以利用該漏洞利用受害者的Apple ID來(lái)注冊(cè)新帳戶(hù)。
Bhavuk還補(bǔ)充說(shuō):“此漏洞的影響非常嚴(yán)重,因?yàn)樗赡軐?dǎo)致整個(gè)帳戶(hù)被黑客接管。”
現(xiàn)在許多開(kāi)發(fā)人員已將Sign In與Apple集成在一起,因?yàn)檫@種方式可以幫助其他社交工具減少獲客成本。
開(kāi)發(fā)人員表示,盡管該漏洞存在于Apple代碼端,但是用戶(hù)“使用Apple登錄”的服務(wù)和應(yīng)用程序中并不受到影響,而且蘋(píng)果公司現(xiàn)在已修復(fù)此漏洞。
雷鋒網(wǎng)了解到,在發(fā)放獎(jiǎng)金之后,蘋(píng)果公司正在公司的服務(wù)器進(jìn)行調(diào)查,從而確定過(guò)去因?yàn)樵撀┒幢挥绊懞推茐牡膸?hù)。
需要注意的是,除了這次漏洞,本月早些時(shí)候德國(guó)達(dá)姆施塔特大學(xué)的研究人員檢查了 MagicPairing 協(xié)議中,還發(fā)現(xiàn)了iOS、macOS 和它們之間的十個(gè)公開(kāi)漏洞,這些漏洞至今尚未得到解決。雷鋒網(wǎng)
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。
