蘋果十萬美金獎勵漏洞發現者,可繞過 AppleID 控制用户賬號

雷鋒網 於 01/06/2020 發表 收藏文章

【 圖片來源:thehackernews.com 所有者:thehackernews.com 】

據外媒報道,蘋果最近向印度漏洞研究人員Bhavuk Jain支付了10萬美元的鉅額賞金,以獎勵其發現的iOS系統中“使用Apple登錄”( Sign in with Apple)的嚴重漏洞。

蘋果方面現在已修補漏洞,該漏洞可使遠程攻擊者繞過身份驗證,並接管使用“使用Apple登錄”選項註冊的第三方服務和應用程序上目標用户的帳户。

去年在蘋果公司的WWDC會議上啟動的“使用Apple登錄”功能,作為保護隱私登錄機制被引入iOS系統,該機制允許用户使用第三方應用程序註冊帳户,而無需透露其實際電子郵件地址(也用作蘋果ID)。
Bhavuk Jain 在接受採訪時透露,他發現的漏洞存在於Apple啟動來自蘋果認證服務器的請求之前,在客户端上驗證用户的過程中。

對於那些不知道的用户,服務器在通過“使用Apple登錄”對用户進行身份驗證時,會生成JSON Web令牌(JWT),其中包含第三方應用程序用來確認登錄用户身份的機密信息。

Bhavuk發現,儘管Apple要求用户在發起請求之前先登錄其Apple帳户,但並未驗證是否是同一個人,在下一步從身份驗證服務器請求JSON Web令牌(JWT)。


【 圖片來源:thehackernews.com 所有者:thehackernews.com 】

因此,該機制缺少的驗證可能允許攻擊者提供屬於受害者單獨的Apple ID,從而誘騙Apple服務器生成有效的JWT有效負載,該有效負載可以使用受害者的身份登錄到第三方服務。

“我發現我可以向JWT請求來自Apple的任何電子郵件ID,當使用Apple的公鑰驗證了這些令牌的簽名後,它們就顯示為有效。這意味着攻擊者可以通過鏈接任何Email ID並獲得訪問權限來偽造JWT,從而獲得受害者的帳户。”

研究人員證實,即使用户選擇從第三方服務中隱藏電子郵件ID,該漏洞仍然有效,並且該漏洞還可以利用受害者的Apple ID來註冊新帳户。
“此漏洞的影響非常嚴重,因為它可能會導致整個帳户被接管。許多開發人員已將“使用Apple登錄”集成在一起,因為對於支持其他社交登錄的應用程序來説,它是強制性的。舉幾個使用“使用Apple登錄”的用户為例- Dropbox,Spotify,Airbnb,Giphy(現已被Facebook收購)。” Bhavuk補充説。

儘管該漏洞存在於Apple端代碼,但研究人員表示,某些向其用户提供“使用Apple登錄”的服務和應用程序可能已經在使用二次身份驗證功能,從而可以緩解用户登錄中的漏洞問題。

Bhavuk上個月向蘋果安全團隊報告了此問題,該公司現在已修復此漏洞。作為迴應,除了向研究人員支付賞金之外,蘋果公司還確認已對他們的服務器日誌進行了調查,發現該漏洞並未被利用來破壞任何帳户。(雷鋒網雷鋒網雷鋒網(公眾號:雷鋒網))

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知


資料來源:雷鋒網
作者/編輯:張帥

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→