来源:太平洋电脑网
使用过苹果产品的朋友大多知道,通过 Sign in with Apple,用户可利用现有的 Apple ID 快速轻松地登录 App 和网站。然而就在近日,印度漏洞安全研究专家 Bhavuk Jain,发现了存在于 Sign in with Apple 中的严重高危漏洞。
目前,该漏洞已经得到修复,苹果也为此向 Bhavuk Jain 支付了高达 10 万美元的巨额赏金。进一步了解得知,此漏洞允许远程攻击者绕过身份验证,接管目标用户在第三方服务和应用中使用 Sign in with Apple 创建的帐号。
对此,Bhavuk Jain 表示在向苹果的身份验证服务器发出请求之前,苹果客户端验证用户方式上存在漏洞。通过 "Sign in with Apple" 验证用户时,服务器会包含秘密信息的 JSON Web Token(JWT),第三方应用会使用 JWT 来确认登录用户的身份。
Bhavuk 发现,虽然苹果公司在发起请求之前要求用户先登录到自己的苹果账户,但在下一步的验证服务器上,却并没有验证是否是同一个人在请求 JSON Web Token ( JWT ) 。因此,该机制中缺失的验证可能允许攻击者提供一个属于受害者的单独的苹果 ID,欺骗苹果服务器生成 JWT 有效的有效载荷,以受害者的身份登录到第三方服务中。
据 Bhavuk 介绍:" 我发现自己可以向苹果公司的任何 Email ID 请求 JWT,当这些令牌的签名用苹果公司的公钥进行验证时,显示为有效。这意味着攻击者可以通过链接任何 Email ID 来伪造 JWT,并获得对受害者账户的访问权限。"
即使用户选择隐藏自己的电子邮件 ID,这个漏洞同样能够生效;选择向第三方服务隐藏你的电子邮件 ID,也可以利用该漏洞用受害者的 Apple ID 注册一个新账户。" 这个漏洞的影响是相当关键的,因为它可以让人完全接管账户。许多开发者已经将 Sign in with Apple 整合到应用程序中,目前 Dropbox、Spotify、Airbnb、Giphy(现在被 Facebook 收购)都支持这种登录方式 ",Bhavuk 补充道。
实际上,这个漏洞的关键影响是它可以让不法分子完全接管账户。许多开发者已经将 Sign in with Apple 整合到应用程序中,目前 Dropbox、Spotify、Airbnb、Giphy 都支持这种登录方式。目前,苹果公司已经修补了漏洞,除了向 Bhavuk 支付赏金外,还在回应中确认漏洞对他们的服务器日志进行了调查,发现该漏洞没有被利用来危害任何账户。
