據外媒報道,研究人員近日披露,Apple登錄功能存在安全漏洞,允許未經授權的黑客訪問用户信息。
該漏洞曾在Bumble,Zomato、Udemy和Verizon Media中被披露,是由iPad和iPhone製造商在處理客户端用户驗證請求中導致,允許黑客任意控制第三方應用程序中的所有賬户。
圖片來源:Pexels
據悉,用户首先通過JWT或Apple服務器生成代碼進行身份驗證,在授權的同時與第三方應用程序共享Apple Email ID,授權成功後,黑客可通過任意電子郵件ID鏈接訪問至JWT,獲取訪問權限,偽造JWT,進而完全控制用户賬户。
截至目前,研究人員已向Apple報告並修復該漏洞,獲得獎金10萬美元,該公司表示尚未發現漏洞被利用的跡象。