价值10万美金的Apple ID登录漏洞,无需密码完全接管你的账户
source link: https://www.freebuf.com/news/238574.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
苹果用户在使用APP或者登录网站账号时,不可避免地会遇到“使用Apple ID登录”的弹框提示,这种操作可以免去重新注册账号的麻烦。
但是,近日曝出苹果这一“使用Apple ID登录”功能存在高危漏洞,黑客可以利用该漏洞攻击用户设备,甚至进行账号劫持。
原本是为了提高苹果用户账号安全的一项功能,如今却因存在漏洞反被黑客利用?
去年,苹果宣布引入“使用Apple ID登录”功能,作为一种隐私保护工具,旨在提高用户安全性,用户可以直接使用苹果账号登录,而无需透露自己的电子邮件、Twitter、Facebook等其他平台账号。不仅如此,苹果还承诺不会跟踪这一登录情况,仅保留登录所需信息。
对于用户来说,这一便利性功能广受欢迎,所以目前很多应用程序和网站都会采用这一功能,比如Spotify,Dropbox,Airbnb等。
技术便捷是一把双刃剑,使用得好则利于人们的生活,但是如果不法分子使用得好,则是窃取用户信息的利器。
漏洞允许使用任何其他Apple ID登录
4月,全栈研发人员Bhavuk Jain发现了苹果“使用Apple ID登录”功能的这一严重漏洞,该漏洞允许黑客使用任何其他Apple ID进行登录,带来的直接后果就是用户的第三方账户劫持。
随后,Bhavuk Jain向苹果上报了这一严重漏洞,获得了10万美元的漏洞赏金。
在Jain发布的博客中可以看到一些漏洞细节。一般而言,使用苹果服务器生成的JWT(JSON Web Token)身份验证令牌或者代码(可生成JWT)可进行用户验证。
下图显示了JWT创建和验证的工作方式。
苹果用户可自行选择是否与第三方应用程序共享Apple电子邮件 ID,如果用户同意共享,并对此进行授权,苹果将创建一个JWT,内含邮件ID,允许第三方应用程序登录账户。
因此,问题来了。攻击者可以将任何电子邮件ID链接到JWT上,伪造JWT来获取用户的访问权,而这一过程中使用的那个邮件ID无法验证是否是用户的真实账号。
因此,攻击者从而达到劫持用户第三方账号的目的。 所幸,目前苹果已经修复了该漏洞,且尚未发现由此引发的用户数据泄露。
Apple ID是苹果设备的安全钥匙,一旦被获取或者被利用则容易导致用户数据泄露或者引发勒索。利用Apple ID进行的诈骗案例也不在少数。比如,利用社会工程学引导用户登录诈骗分子的Apple ID,随后再进行设备锁定,勒索用户缴纳赎金。
因此,注意Apple ID要谨慎使用,比如尽量不要使用不正规的第三方助手,或者开启二步验证或者双重认证来提高安全性。
参考链接:
*本文作者:Sandra1432,转载请注明来自FreeBuf.COM
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK