Sign in with Apple被爆高危破綻:可遠程劫持恣意用戶帳號

近日蘋果向印度破綻安全研究專傢Bhavuk Jain支付瞭高達10萬美元的巨額賞金,原因就是他報告瞭存在於Sign in with Apple中的嚴重高危破綻。Sign in with Apple(通過Apple登錄),能讓你應用現有的Apple ID快速、輕松地登錄 App 和網站,當前按該破綻已經修復。

該破綻容許遠程進擊者繞過身份驗證,接收目的用戶在第三方服務和運用中運用Sign in with Apple創立的帳號。在接受外媒The Hacker News采訪的時候,Bhavuk Jain表示在向蘋果的身份驗證服務器發出懇求以前,蘋果客戶端驗證用戶方式上存在破綻。

通過“Sign in with Apple”驗證用戶的時候,服務器會包括機密信息的JSON Web Token(JWT),第三方運用會運用JWT來確認登錄用戶的身份。Bhavuk發現,固然蘋果公司在提倡懇求以前要求用戶先登錄到自己的蘋果賬戶,但鄙人一步的驗證服務器上,它並無驗證能否是統一個人在懇求JSON Web Token(JWT)。

因而,該部分機制中缺失的驗證可能容許進擊者提供一個屬於受害者的單獨的蘋果ID,詐騙蘋果服務器生成JWT有效的有效載荷,以受害者的身份登錄到第三方服務中。Bhavuk表示:“我發現我能夠向蘋果公司的任何Email ID懇求JWT,當這些令牌的簽名用蘋果公司的公鑰進行驗證時,顯示為有效。這象征著,進擊者能夠通過鏈接任何Email ID來偽造JWT,並取得對受害者賬戶的拜訪權限。”

Bhavuk表示即便你選擇暗藏你的電子郵件ID,這個破綻一樣可以失效。即便你選擇向第三方服務暗藏你的電子郵件ID,也能夠應用該破綻用受害者的Apple ID註冊一個新賬戶。

Bhavuk增補道:“這個破綻的影響是相當關鍵的,由於它可讓人完全接收賬戶。許多開發者已經將Sign in with Apple整合到運用步伐中,當前Dropbox、Spotify、Airbnb、Giphy(現在被Facebook收買)都支持這類登錄方式。”

Bhavuk在上個月負義務地向蘋果安全團隊報告瞭這個問題,當前該公司已經對該破綻進行瞭補釘。除瞭向研究人員支付瞭bug賞金外,該公司在回應中還確認,它對他們的服務器日志進行瞭觀察,發現該破綻沒有被應用來傷害任何賬戶。

发表评论