Apple登录存在漏洞 但目前已经上报苹果并解决
source link: https://tech.sina.com.cn/mobile/n/n/2020-06-01/doc-iircuyvi6042865.shtml
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
新酷产品第一时间免费试玩,还有众多优质达人分享独到生活经验,快来新浪众测,体验各领域最前沿、最有趣、最好玩的产品吧~!下载客户端还能获得专享福利哦!
苹果去年WWDC大会推出这个功能
新浪数码讯 6月1日上午消息,近日,研究员Bhavuk Jain发现“Apple登录( Sign in with Apple)”功能的漏洞可以访问链接的第三方服务上的用户帐户,目前次漏洞已经上报给苹果并得到修复。
外媒《 The Hacker News》介绍,该漏洞依赖于苹果“在从苹果的身份验证服务发起请求之前,先在客户端验证用户”的方式。 Apple登录身份验证过程由服务器生成一个JSON Web令牌,第三方应用程序使用该JSON Web令牌来确认用户的身分。
但是该漏洞的存在,可以通过伪造令牌并欺骗苹果的身份验证过程。
Bhavuk发现,尽管苹果要求用户在发起请求之前先登录其Apple帐户,但并未验证同一个人是否在下一步从其身份验证服务器请求JSON Web令牌。
因此,该机制中缺少的验证,给黑客提供了条件,从而诱骗苹果服务器生成有效的JSON Web令牌,以便让人用受害者的身份登录到第三方服务。这样也就间接获得了第三方账号。
“此漏洞的影响非常关键,因为它可能允许帐户完全泄露。许多开发人员已将Apple登录集成在一起,因此Dropbox,Spotify,Airbnb,Giphy等支持此服务的第三方均可能受到影响,” Bhavuk 写道。
在他报告了该漏洞之后,苹果已经修复了该问题,并根据其漏洞赏金计划向研究人员支付了10万美元。苹果表示,他们调查了服务器日志,没有发现该漏洞曾被利用过。
Sign in with Apple是苹果公司在去年推出的一项登陆服务,按苹果的想法,用户不需要再繁琐地填入账号和密码,而只需要点击这个选项,系统便可以自动识别并认证你的个人身份,并通过匿名邮件服务为你注册账号。这种方式的基础是Apple ID跟其他第三方账号关联,从此只需要一个账号。为用户省力,并有保密的功能。当然,同时它也会将用户圈在苹果的生态里。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK