首页|滚动|国内|国际|运营|制造|监管|原创|业务|技术|报告|测试|博客|特约记者
手机|互联网|IT|5G|光通信|LTE|云计算|芯片|电源|虚拟运营商|移动互联网|会展
首页 >> 终端 >> 正文

“Apple登录”存在漏洞 目前已经上报苹果并修复

2020年6月1日 07:54  新浪数码  

新浪数码讯 6月1日上午消息,近日,研究员Bhavuk Jain发现“Apple登录( Sign in with Apple)”功能的漏洞可以访问链接的第三方服务上的用户帐户,目前次漏洞已经上报给苹果并得到修复。

外媒《 The Hacker News》介绍,该漏洞依赖于苹果“在从苹果的身份验证服务发起请求之前,先在客户端验证用户”的方式。 Apple登录身份验证过程由服务器生成一个JSON Web令牌,第三方应用程序使用该JSON Web令牌来确认用户的身分。

但是该漏洞的存在,可以通过伪造令牌并欺骗苹果的身份验证过程。

Bhavuk发现,尽管苹果要求用户在发起请求之前先登录其Apple帐户,但并未验证同一个人是否在下一步从其身份验证服务器请求JSON Web令牌。

因此,该机制中缺少的验证,给黑客提供了条件,从而诱骗苹果服务器生成有效的JSON Web令牌,以便让人用受害者的身份登录到第三方服务。这样也就间接获得了第三方账号。

“此漏洞的影响非常关键,因为它可能允许帐户完全泄露。许多开发人员已将Apple登录集成在一起,因此Dropbox,Spotify,Airbnb,Giphy等支持此服务的第三方均可能受到影响,”Bhavuk写道。

在他报告了该漏洞之后,苹果已经修复了该问题,并根据其漏洞赏金计划向研究人员支付了10万美元。苹果表示,他们调查了服务器日志,没有发现该漏洞曾被利用过。

Sign in with Apple是苹果公司在去年推出的一项登陆服务,按苹果的想法,用户不需要再繁琐地填入账号和密码,而只需要点击这个选项,系统便可以自动识别并认证你的个人身份,并通过匿名邮件服务为你注册账号。这种方式的基础是Apple ID跟其他第三方账号关联,从此只需要一个账号。为用户省力,并有保密的功能。当然,同时它也会将用户圈在苹果的生态里。

编 辑:值班记者
免责声明:刊载本文目的在于传播更多行业信息,不代表本站对读者构成任何其它建议,请读者仅作参考,更不能作为投资使用依据,请自行核实相关内容。
相关新闻              
 
人物
闻库:5G按下快进键 开始走近大家的生活
精彩专题
专题报道丨2020年世界电信和信息社会日
专题报道丨山至高处人为峰,中国5G信号覆盖珠穆朗玛
专题报道丨助力武汉"战疫",共铸坚强后盾
2019年信息通信产业盘点暨颁奖礼
CCTIME推荐
关于我们 | 广告报价 | 联系我们 | 隐私声明 | 本站地图
CCTIME飞象网 CopyRight © 2007-2017 By CCTIME.COM
京ICP备08004280号  电信与信息服务业务经营许可证080234号 京公网安备110105000771号
公司名称: 北京飞象互动文化传媒有限公司
未经书面许可,禁止转载、摘编、复制、镜像