“透過 Apple 登入"是蘋果於今年三月推出的一項新功能,該功能希望透過使用現有的 Apple ID為使用者提供一種快速、輕鬆且私密性更強的登入 App 和網站的方式。不過最近曝光的一項已經修復的高危漏洞顯示了該功能的私密安全性或許並不如蘋果所想象的那樣安全。
近日,因報告了存在於“透過 Apple 登入"中的嚴重高危漏洞,蘋果向印度漏洞安全研究專家Bhavuk Jain支付了10萬美元的鉅額賞金。
據瞭解,該漏洞允許遠端攻擊者繞過身份驗證,接管目標使用者在第三方服務和應用中使用“透過 Apple 登入“建立的帳號。具體來說,“透過 Apple 登入"驗證使用者的時候,伺服器會提供一份用於驗證身份資訊的JWT密令(JSON Web Token,可以理解為一張車票),而支援“透過 Apple 登入"的第三方應用會透過JWT來確認登入使用者的身份(驗票)。Bhavuk發現,雖然蘋果公司在發起請求之前要求使用者先登入到自己的蘋果賬戶(身份證),但在下一步的驗證伺服器上,它並沒有驗證是否是同一個人在請求JWT。
這意味著攻擊者可以透過一個受害者的蘋果ID去申請JWT,隨後透過JWT而非ID資訊透過第三方驗證。就像是你的身份資訊被盜用買了一張火車票,然後別人可以用你的火車票冒用身份證去遊樂園,去買機票,汽車票或者其它任意需要驗證身份資訊的事情。
Bhavuk表示:“許多開發者已經將‘透過 Apple 登入'整合到應用程式中,目前Dropbox、Spotify、Airbnb、Giphy都支援這種登入方式。這個漏洞的影響是相當關鍵的,因為它可以讓攻擊者完全接管(這些)賬戶。"
在發放獎金的之後,蘋果公司除了確認該漏洞已修復外,還將調查此前是否存在受到該漏洞影響的賬戶。