日韩在线视频一区_久久不射2019中文字幕_国产91精品久久久久久久_天堂va蜜桃一区二区三区漫画版

注冊
閩南網 > 新聞中心 > 數碼科技 > 正文

蘋果為系統ID驗證嚴重漏洞 支付十萬美元賞金

來源:雷鋒網 2020-06-01 10:15 http://www.413629.com/

  近日,蘋果最近向印度漏洞研究人員Bhavuk Jain支付了100,000美元賞金,獎勵其發現影響“使用Apple登錄”系統的嚴重漏洞。該漏洞是Bhavuk上個月向蘋果安全團隊報告,目前蘋果現在已修復此漏洞。

  這個已修補的漏洞,可以使遠程攻擊者繞過身份驗證,接管使用“使用Apple登錄”選項注冊的第三方服務和應用程序上的帳戶。

  去年,蘋果公司在WWDC會議啟動了“ 蘋果ID ”登錄第三方的保護隱私機制,該機制允許用戶使用蘋果ID注冊第三方應用程序帳戶,并且無需透露實際電子郵件地址。

  Bhavuk Jain在向媒體表示,他發現的漏洞存在于Apple在啟動過程中,與蘋果服務器認證過程中。

  對于那些不了解實際情況的用戶,在服務器上通過“使用Apple登錄”進行用戶身份驗證時,可以生成JSON Web令牌(JWT),其中就包含第三方應用程序發來確認登錄用戶身份的機密信息。

  Bhavuk發現,盡管Apple會要求用戶在發起請求之前,登錄Apple帳戶,但是并沒有驗證是否是同一個人在身份驗證服務器請求JSON Web令牌(JWT)。

  所以,該機制中缺少的驗證問題,可能允許攻擊者獲取屬于受害者的單獨Apple ID,從而誘騙Apple服務器生成有效的JWT,最終導致受害者的身份信息被其他人從第三方獲取。

  Bhavuk表示:“我發現可以向JWT請求來自Apple的任何電子郵件ID,并且使用Apple公鑰驗證獲取的令牌簽名后,就可以登錄。這意味攻擊者可以通過鏈接獲取任何Email ID 并通過訪問權限偽造JWT,進而訪問受害者帳戶。”

  即使在第三方服務中隱藏電子郵件ID,該漏洞仍然有效,并且黑客可以利用該漏洞利用受害者的Apple ID來注冊新帳戶。

  Bhavuk還補充說:“此漏洞的影響非常嚴重,因為它可能導致整個帳戶被黑客接管。”

  現在許多開發人員已將Sign In與Apple集成在一起,因為這種方式可以幫助其他社交工具減少獲客成本。

  開發人員表示,盡管該漏洞存在于Apple代碼端,但是用戶“使用Apple登錄”的服務和應用程序中并不受到影響,而且蘋果公司現在已修復此漏洞。

  雷鋒網了解到,在發放獎金之后,蘋果公司正在公司的服務器進行調查,從而確定過去因為該漏洞被影響和破壞的帳戶。

  需要注意的是,除了這次漏洞,本月早些時候德國達姆施塔特大學的研究人員檢查了 MagicPairing 協議中,還發現了iOS、macOS 和它們之間的十個公開漏洞,這些漏洞至今尚未得到解決。

原標題:蘋果為ID驗證漏洞,支付十萬美元賞金
責任編輯:李曉靈
相關閱讀:
新聞 娛樂 福建 泉州 漳州 廈門
猜你喜歡:
熱門評論:
頻道推薦
  • 獲頒生產許可證!AG600飛機正式邁入批量生
  • 合肥市人大常委會原副主任杜平太嚴重違紀違
  • 中國遠洋海運原黨組管理正職領導干部隋軍被
  • 新聞推薦
    @所有人 多項民生禮包加速落地快來查收 三峽大壩變形?專家:又有人在惡意炒作 北京新一波疫情為什么沒出現死亡病例? 戴口罩、一米線 疫情改變了哪些習慣? 呼倫貝爾現幻日奇觀 彩虹光帶環繞太陽
    視覺焦點
    石獅:秋風起,紫菜香 石獅:秋風起,紫菜香
    石獅環灣生態公園內粉黛亂子草盛放 石獅環灣生態公園內粉黛亂子草盛放
    精彩視頻
    【視頻】現場直擊!高考首日泉州學子奔赴考場
    【視頻】現場直擊!高考首日泉州學子奔赴考場
    泉州晉江:特色民俗迎端午 水上掠鴨趣味多(視頻)
    泉州晉江:特色民俗迎端午 水上掠鴨趣味多(視頻)
    專題推薦
    關注泉城養老服務 打造幸福老年生活
    關注泉城養老服務 打造幸福老年生活

    閩南網推出專題報道,以圖、文、視頻等形式,展現泉州在補齊養老事業短板,提升養老服

    新征程,再出發——聚焦2021年全國兩會
    2020福建高考招錄
     
    48小時點擊排行榜
    國家級非遺“刀郎麥西熱甫”是一種什么? 全省河湖長制林長制工作會議召開 福建首個茶園生態系統碳匯計量監測團體標 1號臺風路徑路徑實時發布系統 臺風蝴蝶最 女生高考完獨自挑一扁擔行李回家 網友: “絲路海運”電商快線集裝箱吞吐量突破10 今天(6月11日)油價調整最新消息:昨日 情暖童心 郵愛同行——郵儲銀行龍海區支