0
【 圖片來源:thehackernews.com 所有者:thehackernews.com 】
據外媒報道,蘋果最近向印度漏洞研究人員Bhavuk Jain支付了10萬美元的巨額賞金,以獎勵其發現的iOS系統中“使用Apple登錄”( Sign in with Apple)的嚴重漏洞。
蘋果方面現在已修補漏洞,該漏洞可使遠程攻擊者繞過身份驗證,并接管使用“使用Apple登錄”選項注冊的第三方服務和應用程序上目標用戶的帳戶。
去年在蘋果公司的WWDC會議上啟動的“使用Apple登錄”功能,作為保護隱私登錄機制被引入iOS系統,該機制允許用戶使用第三方應用程序注冊帳戶,而無需透露其實際電子郵件地址(也用作蘋果ID)。
Bhavuk Jain 在接受采訪時透露,他發現的漏洞存在于Apple啟動來自蘋果認證服務器的請求之前,在客戶端上驗證用戶的過程中。
對于那些不知道的用戶,服務器在通過“使用Apple登錄”對用戶進行身份驗證時,會生成JSON Web令牌(JWT),其中包含第三方應用程序用來確認登錄用戶身份的機密信息。
Bhavuk發現,盡管Apple要求用戶在發起請求之前先登錄其Apple帳戶,但并未驗證是否是同一個人,在下一步從身份驗證服務器請求JSON Web令牌(JWT)。
【 圖片來源:thehackernews.com 所有者:thehackernews.com 】
因此,該機制缺少的驗證可能允許攻擊者提供屬于受害者單獨的Apple ID,從而誘騙Apple服務器生成有效的JWT有效負載,該有效負載可以使用受害者的身份登錄到第三方服務。
“我發現我可以向JWT請求來自Apple的任何電子郵件ID,當使用Apple的公鑰驗證了這些令牌的簽名后,它們就顯示為有效。這意味著攻擊者可以通過鏈接任何Email ID并獲得訪問權限來偽造JWT,從而獲得受害者的帳戶。”
研究人員證實,即使用戶選擇從第三方服務中隱藏電子郵件ID,該漏洞仍然有效,并且該漏洞還可以利用受害者的Apple ID來注冊新帳戶。
“此漏洞的影響非常嚴重,因為它可能會導致整個帳戶被接管。許多開發人員已將“使用Apple登錄”集成在一起,因為對于支持其他社交登錄的應用程序來說,它是強制性的。舉幾個使用“使用Apple登錄”的用戶為例- Dropbox,Spotify,Airbnb,Giphy(現已被Facebook收購)。” Bhavuk補充說。
盡管該漏洞存在于Apple端代碼,但研究人員表示,某些向其用戶提供“使用Apple登錄”的服務和應用程序可能已經在使用二次身份驗證功能,從而可以緩解用戶登錄中的漏洞問題。
Bhavuk上個月向蘋果安全團隊報告了此問題,該公司現在已修復此漏洞。作為回應,除了向研究人員支付賞金之外,蘋果公司還確認已對他們的服務器日志進行了調查,發現該漏洞并未被利用來破壞任何帳戶。(雷鋒網雷鋒網雷鋒網)
雷鋒網編譯,via thehackernews
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
