Apple登錄系統(tǒng)出嚴(yán)重漏洞：蘋果支付十萬美元賞金

眾所周知，去年，蘋果公司在WWDC會議啟動了“ 蘋果ID ”登錄第三方的保護(hù)隱私機(jī)制，該機(jī)制允許用戶使用蘋果ID注冊第三方應(yīng)用程序帳戶，并且無需透露實際電子郵件地址。即使在第三方服務(wù)中隱藏電子郵件ID，該漏洞仍然有效，并且黑客可以利用該漏洞利用受害者的Apple ID來注冊新帳戶。

近日，蘋果最近向印度漏洞研究人員Bhavuk Jain支付了100000美元賞金，獎勵其發(fā)現(xiàn)影響“ 使用Apple登錄 ”系統(tǒng)的嚴(yán)重漏洞。該漏洞是Bhavuk上個月向蘋果安全團(tuán)隊報告，目前蘋果現(xiàn)在已修復(fù)此漏洞。

Bhavuk Jain 在向媒體表示，他發(fā)現(xiàn)的漏洞存在于Apple在啟動過程中，與蘋果服務(wù)器認(rèn)證過程中。

對于那些不了解實際情況的用戶，在服務(wù)器上通過“使用Apple登錄”進(jìn)行用戶身份驗證時，可以生成JSON Web令牌(JWT)，其中就包含第三方應(yīng)用程序發(fā)來確認(rèn)登錄用戶身份的機(jī)密信息。

Bhavuk發(fā)現(xiàn)，盡管Apple會要求用戶在發(fā)起請求之前，登錄Apple帳戶，但是并沒有驗證是否是同一個人在身份驗證服務(wù)器請求JSON Web令牌(JWT)。

所以，該機(jī)制中缺少的驗證問題，可能允許攻擊者獲取屬于受害者的單獨(dú)Apple ID，從而誘騙Apple服務(wù)器生成有效的JWT，最終導(dǎo)致受害者的身份信息被其他人從第三方獲取。

Bhavuk表示：“我發(fā)現(xiàn)可以向JWT請求來自Apple的任何電子郵件ID，并且使用Apple公鑰驗證獲取的令牌簽名后，就可以登錄。這意味攻擊者可以通過鏈接獲取任何Email ID 并通過訪問權(quán)限偽造JWT，進(jìn)而訪問受害者帳戶?！?

Bhavuk還補(bǔ)充說：“此漏洞的影響非常嚴(yán)重，因為它可能導(dǎo)致整個帳戶被黑客接管?！?

現(xiàn)在許多開發(fā)人員已將Sign In與Apple集成在一起，因為這種方式可以幫助其他社交工具減少獲客成本。

開發(fā)人員表示，盡管該漏洞存在于Apple代碼端，但是用戶“使用Apple登錄”的服務(wù)和應(yīng)用程序中并不受到影響，而且蘋果公司現(xiàn)在已修復(fù)此漏洞。

這個已修補(bǔ)的漏洞，可以使遠(yuǎn)程攻擊者繞過身份驗證，接管使用“使用Apple登錄”選項注冊的第三方服務(wù)和應(yīng)用程序上的帳戶。