Sign in with Apple被爆高危漏洞:可远程劫持任意用户帐号
|
6·18勾当已全面开启 大促勾当进口汇总: 京东6·18十七周年庆大促主会场进口 – 最高可领618元红包 2020天猫6·18超等红包在此领取 6月1日追加40亿元斲丧券
该裂痕应承长途进攻者绕过身份验证,经受方针用户在第三方处事和应用中行使Sign in with Apple建设的帐号。在接管外媒The Hacker News采访的时辰,Bhavuk Jain暗示在向苹果的身份验证处事器发出哀求之前,苹果客户端验证用户方法上存在裂痕。 通过“Sign in with Apple”验证用户的时辰,处事器会包括奥秘信息的JSON Web Token(JWT),第三方应用会行使JWT来确认登任命户的身份。Bhavuk发明,固然苹果公司在提倡哀求之前要求用户先登录到本身的苹果账户,但在下一步的验证处事器上,它并没有验证是否是统一小我私人在哀求JSON Web Token(JWT)。
因此,该部门机制中缺失的验证也许应承进攻者提供一个属于受害者的单独的苹果ID,诱骗苹果处事器天生JWT有用的有用载荷,以受害者的身份登录到第三方处事中。Bhavuk暗示:“我发明我可以向苹果公司的任何Email ID哀求JWT,当这些令牌的署名用苹果公司的公钥举办验证时,表现为有用。这意味着,进攻者可以通过链接任何Email ID来伪造JWT,并得到对受害者账户的会见权限。” Bhavuk暗示纵然你选择潜匿你的电子邮件ID,这个裂痕同样可以或许见效。纵然你选择向第三方处事潜匿你的电子邮件ID,也可以操作该裂痕用受害者的Apple ID注册一个新账户。 Bhavuk增补道:“这个裂痕的影响是相等要害的,由于它可以让人完全经受账户。很多开拓者已经将Sign in with Apple整合到应用措施中,今朝Dropbox、Spotify、Airbnb、Giphy(此刻被Facebook收购)都支持这种登录方法。” Bhavuk在上个月认真任地向苹果安详团队陈诉了这个题目,今朝该公司已经对该裂痕举办了补丁。除了向研究职员付出了bug赏金外,该公司在回应中还确认,它对他们的处事器日记举办了观测,发明该裂痕没有被操作来危害任何账户。 本文素材来自互联网 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
