威锋网|研究人员发现「使用Apple登录」功能存在安全漏洞
据外媒报道 , 研究人员BhavukJain在四月份发现了一个严重的「使用Apple登录」漏洞 , 该漏洞可能导致某些用户帐户被接管 。 值得一提的是 , 这个Bug特定于使用“通过苹果登录”功能且未实施其它安全措施的第三方应用 。
文章图片
【威锋网|研究人员发现「使用Apple登录」功能存在安全漏洞】Jain指出「使用Apple登录」是通过JWT(JSONWeb令牌)或苹果服务器生成的代码对用户进行身份验证的 。 然后 , 苹果提供给用户选择共享与他们的AppleID绑定的电子邮件或私有中继电子邮件地址的选项 , 这将创建用于登录用户的JWT 。
然后Jain发现 , 一旦请求了用于AppleID电子邮件和专用中继电子邮件地址的JWT , 并且使用苹果的公钥验证了令牌的签名 , 它就会「显示为有效」 。 如果尚未发现该错误 , 则可以创建一个JWT并将其用于访问一个人的帐户 。
Jain在接受TheHackerNews采访时谈到了该漏洞的严重性:
此漏洞的影响非常关键 , 因为它可能允许完整的帐户接管 。 许多开发人员已将「使用Apple登录」集成在一起 , 因为对于支持其它社交登录的应用是强制性的 。 仅举几例「使用Apple登录」功能的应用-Dropbox , Spotify , Airbnb , Giphy(现已被Facebook收购) 。
根据Jain的说法 , 苹果对此进行了调查 , 得出的结论是 , 在修补漏洞之前 , 没有任何帐户使用此方法被破坏 。 而根据苹果的AppleSecurityBountyProgram(安全奖励赏金)计划 , Jain因报告该漏洞而获得了100,000美元的奖励 。
推荐阅读
- 灰色婚纱|巴西又有重要发现,西班牙之后
- 『南极』科学家在南极冰下800米处,发现新的生命世界,颠覆了人类的认知
- 科学家▲科学家发现宇宙的终极是熵,这意味着什么?未来世界将一片混乱!
- 东大街知事|而现在才发现百度、高德、谷歌地图都是“错误”的,天天用地图
- 「火星」火星发现类似房屋残骸的结构,网友称是微型外星人的家园
- 松鼠热点|巴西又有重要发现……,西班牙之后
- 严胖子黑科技|有水有大气!,人类移居有望了?科学家:两颗“超级地球”被发现
- 威锋网|14这四大功能是不是用户期待多年的呢?,iOS
- 『外星人』外星人坠落之地,发现神秘金属碎片,上面还有中文字样,怎么回事
- 威锋网|Note20或成系列有史以来最贵,Galaxy