2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
蘋(píng)果是一款加強(qiáng)隱私保護(hù)的工具,它允許用戶(hù)登錄第三方應(yīng)用程序,而無(wú)需透露他們的電子郵件地址,只是修復(fù)了一個(gè)漏洞,使攻擊者有可能未經(jīng)授權(quán)訪(fǎng)問(wèn)這些帳戶(hù)。
應(yīng)用程序開(kāi)發(fā)者巴烏克·賈恩周日寫(xiě)道:“在4月份,我發(fā)現(xiàn)蘋(píng)果公司有一個(gè)零日登錄系統(tǒng),影響了使用該系統(tǒng)的第三方應(yīng)用程序,而這些應(yīng)用程序并沒(méi)有實(shí)施自己的額外安全措施?!薄斑@個(gè)漏洞可能會(huì)導(dǎo)致完全接管第三方應(yīng)用程序的用戶(hù)帳戶(hù),而不管受害者是否擁有有效的蘋(píng)果ID?!?/p>
根據(jù)蘋(píng)果公司的漏洞獎(jiǎng)勵(lì)計(jì)劃,杰恩私下向蘋(píng)果公司報(bào)告了這一漏洞,并獲得了高達(dá)10萬(wàn)美元的獎(jiǎng)勵(lì)。在蘋(píng)果更新登錄服務(wù)以修補(bǔ)漏洞后,開(kāi)發(fā)者分享了詳細(xì)信息。
“與蘋(píng)果簽約”于去年10月首次亮相,是一種更簡(jiǎn)單、更安全、更私密的登錄應(yīng)用程序和網(wǎng)站的方式。許多第三方iOS和iPadOS應(yīng)用程序都要求用戶(hù)可以選擇與蘋(píng)果公司簽約,面對(duì)這一要求,許多備受矚目的服務(wù)公司委托大量敏感用戶(hù)數(shù)據(jù)使用,采用了這一方式。
iPhone和iPad用戶(hù)無(wú)需使用社交媒體賬號(hào)或電子郵件地址、填寫(xiě)網(wǎng)絡(luò)表格和選擇特定賬號(hào)的密碼,只需點(diǎn)擊一個(gè)按鈕,就可以使用Face ID、Touch ID或設(shè)備密碼登錄。這個(gè)漏洞讓用戶(hù)看到了他們的第三方賬戶(hù)被完全劫持的可能性。
登錄服務(wù)的工作方式類(lèi)似于OAuth 2.0標(biāo)準(zhǔn),它通過(guò)使用jwt (JSON Web tokent的縮寫(xiě))或Apple服務(wù)器生成的代碼登錄用戶(hù)。在后一種情況下,代碼用于生成JWT。蘋(píng)果用戶(hù)可以選擇與第三方共享蘋(píng)果電子郵件ID,也可以選擇隱藏該ID。當(dāng)用戶(hù)隱藏ID時(shí),蘋(píng)果會(huì)創(chuàng)建一個(gè)JWT,其中包含一個(gè)特定于用戶(hù)的中繼ID。
“我發(fā)現(xiàn)我可以向JWTs索要任何來(lái)自蘋(píng)果的電子郵件ID,當(dāng)這些令牌的簽名使用蘋(píng)果的公鑰進(jìn)行驗(yàn)證時(shí),它們顯示是有效的,”Jain寫(xiě)道?!斑@意味著攻擊者可以通過(guò)將任何電子郵件ID鏈接到JWT,并獲得受害者賬戶(hù)的訪(fǎng)問(wèn)權(quán),從而偽造JWT?!?/p>
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。