返回

苹果( Sign in with Apple)漏洞未经授权访问链接服务

2020-06-01 14:02TechWeb.com.cn

"Apple登录( Sign in with Apple)"是苹果公司在去年WWDC推出的一项登录服务,用户不需要再繁琐地填入账号和密码,而只需要点击这个选项,系统便可以自动识别并认证你的个人身份,并通过匿名邮件服务为你注册账号。

具体的是通过 JWT(JSON Web 令牌)或苹果服务器生成的代码对用户进行身份验证的。苹果提供给用户选择共享与他们的 Apple ID 绑定的电子邮件或私有中继电子邮件地址的选项,这将创建用于登录用户的 JWT。一旦用户请求了用于 Apple ID 电子邮件和专用中继电子邮件地址的 JWT,并且使用苹果的公钥验证了令牌的签名,它就会”显示为有效”。 如果尚未发现该错误,则可以创建一个 JWT 并将其用于访问一个人的帐户。

苹果漏洞 苹果公司 苹果服务

近日,研究者Bhavuk Jain发现“Apple登录( Sign in with Apple)”功能的漏洞可以访问链接的第三方服务上的用户帐户.

值得一提的是,这个 Bug 特定于使用“Apple登录( Sign in with Apple)”功能且未实施其它安全措施的第三方应用 。由于Apple审核机制,在社交应用中,开发人员通常会将“Apple登录”集成在一起。比如:Dropbox,Spotify,Airbnb,Giphy(现已被 Facebook 收购).

由于该安全漏洞将导致用户个人账号隐私数据,恐遭黑客入侵窃取的高度风险,经Bhavuk Jain回报给苹果安全团队后,苹果确认了该漏洞并给予了 10 万美元的奖励;同时也展开调查并响应表示,目前这个已知存在于"Sign In with Apple"的漏洞已获得修补;此外在修补该项漏洞之前,并未发现有任何Apple ID账号曾遭黑客入侵盗用.另外,在此之前,一些使用了Sign in with Apple的应用以及服务,启用双重认证也可以预防这个漏洞。

相关文章 大家在看
苹果漏洞
21篇文章
查看