摘要:具體來說,“通過 Apple 登錄"驗證用戶的時候,服務器會提供一份用於驗證身份信息的JWT密令(JSON Web Token,可以理解爲一張車票),而支持“通過 Apple 登錄"的第三方應用會通過JWT來確認登錄用戶的身份(驗票)。Bhavuk發現,雖然蘋果公司在發起請求之前要求用戶先登錄到自己的蘋果賬戶(身份證),但在下一步的驗證服務器上,它並沒有驗證是否是同一個人在請求JWT。

“通過 Apple 登錄"是蘋果於今年三月推出的一項新功能,該功能希望通過使用現有的 Apple ID爲用戶提供一種快速、輕鬆且私密性更強的登錄 App 和網站的方式。不過最近曝光的一項已經修復的高危漏洞顯示了該功能的私密安全性或許並不如蘋果所想象的那樣安全。

近日,因報告了存在於“通過 Apple 登錄"中的嚴重高危漏洞,蘋果向印度漏洞安全研究專家Bhavuk Jain支付了10萬美元的鉅額賞金。

據瞭解,該漏洞允許遠程攻擊者繞過身份驗證,接管目標用戶在第三方服務和應用中使用“通過 Apple 登錄“創建的帳號。具體來說,“通過 Apple 登錄"驗證用戶的時候,服務器會提供一份用於驗證身份信息的JWT密令(JSON Web Token,可以理解爲一張車票),而支持“通過 Apple 登錄"的第三方應用會通過JWT來確認登錄用戶的身份(驗票)。Bhavuk發現,雖然蘋果公司在發起請求之前要求用戶先登錄到自己的蘋果賬戶(身份證),但在下一步的驗證服務器上,它並沒有驗證是否是同一個人在請求JWT。

這意味着攻擊者可以通過一個受害者的蘋果ID去申請JWT,隨後通過JWT而非ID信息通過第三方驗證。就像是你的身份信息被盜用買了一張火車票,然後別人可以用你的火車票冒用身份證去遊樂園,去買機票,汽車票或者其它任意需要驗證身份信息的事情。

Bhavuk表示:“許多開發者已經將‘通過 Apple 登錄'整合到應用程序中,目前Dropbox、Spotify、Airbnb、Giphy都支持這種登錄方式。這個漏洞的影響是相當關鍵的,因爲它可以讓攻擊者完全接管(這些)賬戶。"

在發放獎金的之後,蘋果公司除了確認該漏洞已修復外,還將調查此前是否存在受到該漏洞影響的賬戶。

相關文章