楠木軒

“登陸蘋果賬號”被爆高危漏洞:可遠程劫持任意用户帳號

由 南門語山 發佈於 科技

本文轉自【cnBeta.COM】;

近日蘋果向印度漏洞安全研究專家Bhavuk Jain支付了高達10萬美元的鉅額賞金,原因就是他報告了存在於Sign in with Apple中的嚴重高危漏洞。Sign in with Apple(通過Apple登錄),能讓你利用現有的Apple ID快速、輕鬆地登錄 App 和網站,目前按該漏洞已經修復。

該漏洞允許遠程攻擊者繞過身份驗證,接管目標用户在第三方服務和應用中使用Sign in with Apple創建的帳號。在接受外媒The Hacker News採訪的時候,Bhavuk Jain表示在向蘋果的身份驗證服務器發出請求之前,蘋果客户端驗證用户方式上存在漏洞。

通過“Sign in with Apple”驗證用户的時候,服務器會包含秘密信息的JSON Web Token(JWT),第三方應用會使用JWT來確認登錄用户的身份。Bhavuk發現,雖然蘋果公司在發起請求之前要求用户先登錄到自己的蘋果賬户,但在下一步的驗證服務器上,它並沒有驗證是否是同一個人在請求JSON Web Token(JWT)。

因此,該部分機制中缺失的驗證可能允許攻擊者提供一個屬於受害者的單獨的蘋果ID,欺騙蘋果服務器生成JWT有效的有效載荷,以受害者的身份登錄到第三方服務中。Bhavuk表示:“我發現我可以向蘋果公司的任何Email ID請求JWT,當這些令牌的簽名用蘋果公司的公鑰進行驗證時,顯示為有效。這意味着,攻擊者可以通過鏈接任何Email ID來偽造JWT,並獲得對受害者賬户的訪問權限。”

Bhavuk表示即使你選擇隱藏你的電子郵件ID,這個漏洞同樣能夠生效。即使你選擇向第三方服務隱藏你的電子郵件ID,也可以利用該漏洞用受害者的Apple ID註冊一個新賬户。

Bhavuk補充道:“這個漏洞的影響是相當關鍵的,因為它可以讓人完全接管賬户。許多開發者已經將Sign in with Apple整合到應用程序中,目前Dropbox、Spotify、Airbnb、Giphy(現在被Facebook收購)都支持這種登錄方式。”

Bhavuk在上個月負責任地向蘋果安全團隊報告了這個問題,目前該公司已經對該漏洞進行了補丁。除了向研究人員支付了bug賞金外,該公司在回應中還確認,它對他們的服務器日誌進行了調查,發現該漏洞沒有被利用來危害任何賬户。