上海苹果专卖换电池_Sign in with Apple 被曝可远程劫持任意用户帐号
发布时间:2020-06-28 15:34:14 来源:上海苹果维修服务中心
印度漏洞安全研究专家BhavukJain在官方博客中透露:“用Apple登录”(用Apple登录)存在一个零日漏洞,影响非常严重,因为它允许攻击者远程劫持任何用户帐户。上海苹果专卖换电池
BhavukJain在他的博客中写道:“今年4月,我在SigninApple中发现了一个零日漏洞。如果第三方应用程序使用“通过Apple登录”(通过Apple登录)并且未部署其他安全措施,则所有这些措施都将受到零日漏洞的影响。”
至关重要的是,该漏洞使远程攻击者可以绕过身份验证,并接管使用第三方服务和应用程序中的Apple登录功能由目标用户创建的帐户。上海苹果专卖换电池
据了解,在去年的WWDC上,苹果公司正式启动了自己的第三方登录服务-与苹果公司登录(与苹果公司登录)。上海苹果专卖换电池
说到第三方登录,您必须提到OAuth。阮一峰表示:简单来说,OAuth是一种授权机制。数据的所有者告诉系统,它同意授权第三方应用程序进入系统并获取数据。因此,系统会生成短期输入令牌,该令牌将用于替换密码以供第三方应用程序使用。现在,大多数第三方登录均基于OIDC或使用OAuth2.0进行了修改。
根据苹果官方的解释:
“使用Apple登录”使用户可以使用其AppleID轻松登录到您的应用和网站。用户不必填写表格,验证电子邮件地址和选择新密码,他们可以使用“使用Apple登录”来设置帐户上海苹果专卖换电池并立即开始使用您的应用。所有帐户均受到两因素身份验证的保护,并具有很高的安全性,Apple不会跟踪您的应用程序或网站中的用户活动。
到目前为止,许多开发人员已将“使用Apple登录”功能集成到应用程序中,例如Dropbox,Spotify,Airbnb,国外Giphy,喜马拉雅,懒惰,厨房故事等。这些应用程序尚未经过测试,如果在对用户进行身份验证时未采取其他安全措施,则攻击者可能会利用它们来实现完全帐户接管。
根据BhavukJain的博客文章,使用Apple登录类似于OAuth2.0,并且有两种方法来验证用户身份:一种是使用JWT(JSONWeb令牌),另一种是使用Apple服务器生成码。上海苹果专卖换电池
下图显示了JWT的创建和验证方式。
当用户通过“使用Apple登录”进行身份验证时,服务器将包含JWT的机密信息,并且第三方应用程序将使用JWT确认登录用户的身份。
BhavukJain发现,尽管Apple要求用户在发起请求之前先登录其Apple帐户,但在下一台身份验证服务器上,它没有验证同一个人是否在请求JWT。上海苹果专卖换电池
因此,该机制这一部分中缺少的验证可能允许攻击者提供属于受害者的单独的AppleID,诱使Apple服务器生成JWT有效负载,并以受害者身份登录第三方服务。
BhavukJain说:“我发现我可以从Apple的任何电子邮件ID中请求JWT,并且当这些令牌的签名已用Apple的公钥验证时,它似乎是有效的。这意味着攻击者可以链接到任何电子邮件ID以伪造JWT并获得对受害者帐户的访问权限。”
据报道,一个月前,他向苹果安全团队报告了这个问题,为此苹果付出了10万美元的巨额奖金。目前,Apple已修复该漏洞,并且还调查了服务器日志,发现该漏洞尚未用于损害任何用户帐户。上海苹果专卖换电池
文章来源:https://mshwx.new-apple.com/guzhang/248.html
