蘋果是一款加強(qiáng)隱私保護(hù)的工具���,它允許用戶登錄第三方應(yīng)用程序��,而無需透露他們的電子郵件地址�,只是修復(fù)了一個漏洞�,使攻擊者有可能未經(jīng)授權(quán)訪問這些帳戶。
應(yīng)用程序開發(fā)者巴烏克·賈恩周日寫道:“在4月份�,我發(fā)現(xiàn)蘋果公司有一個零日登錄系統(tǒng),影響了使用該系統(tǒng)的第三方應(yīng)用程序�,而這些應(yīng)用程序并沒有實施自己的額外安全措施�。”“這個漏洞可能會導(dǎo)致完全接管第三方應(yīng)用程序的用戶帳戶�����,而不管受害者是否擁有有效的蘋果ID��!
根據(jù)蘋果公司的漏洞獎勵計劃�,杰恩私下向蘋果公司報告了這一漏洞,并獲得了高達(dá)10萬美元的獎勵�。在蘋果更新登錄服務(wù)以修補(bǔ)漏洞后,開發(fā)者分享了詳細(xì)信息���。
“與蘋果簽約”于去年10月首次亮相���,是一種更簡單、更安全�、更私密的登錄應(yīng)用程序和網(wǎng)站的方式。許多第三方iOS和iPadOS應(yīng)用程序都要求用戶可以選擇與蘋果公司簽約��,面對這一要求����,許多備受矚目的服務(wù)公司委托大量敏感用戶數(shù)據(jù)使用,采用了這一方式����。
iPhone和iPad用戶無需使用社交媒體賬號或電子郵件地址、填寫網(wǎng)絡(luò)表格和選擇特定賬號的密碼���,只需點擊一個按鈕�����,就可以使用Face ID����、Touch ID或設(shè)備密碼登錄。這個漏洞讓用戶看到了他們的第三方賬戶被完全劫持的可能性���。
登錄服務(wù)的工作方式類似于OAuth 2.0標(biāo)準(zhǔn)��,它通過使用jwt (JSON Web tokent的縮寫)或Apple服務(wù)器生成的代碼登錄用戶����。在后一種情況下���,代碼用于生成JWT�。蘋果用戶可以選擇與第三方共享蘋果電子郵件ID�����,也可以選擇隱藏該ID����。當(dāng)用戶隱藏ID時,蘋果會創(chuàng)建一個JWT��,其中包含一個特定于用戶的中繼ID��。
“我發(fā)現(xiàn)我可以向JWTs索要任何來自蘋果的電子郵件ID��,當(dāng)這些令牌的簽名使用蘋果的公鑰進(jìn)行驗證時�����,它們顯示是有效的�,”Jain寫道����!斑@意味著攻擊者可以通過將任何電子郵件ID鏈接到JWT,并獲得受害者賬戶的訪問權(quán)���,從而偽造JWT�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
