【 圖片來源：thehackernews.com  所有者：thehackernews.com 】

據(jù)外媒報道，蘋果最近向印度漏洞研究人員Bhavuk Jain支付了10萬美元的巨額賞金，以獎勵其發(fā)現(xiàn)的iOS系統(tǒng)中“使用Apple登錄”（ Sign in with Apple）的嚴(yán)重漏洞。

蘋果方面現(xiàn)在已修補(bǔ)漏洞，該漏洞可使遠(yuǎn)程攻擊者繞過身份驗證，并接管使用“使用Apple登錄”選項注冊的第三方服務(wù)和應(yīng)用程序上目標(biāo)用戶的帳戶。

去年在蘋果公司的WWDC會議上啟動的“使用Apple登錄”功能，作為保護(hù)隱私登錄機(jī)制被引入iOS系統(tǒng)，該機(jī)制允許用戶使用第三方應(yīng)用程序注冊帳戶，而無需透露其實際電子郵件地址（也用作蘋果ID）。

Bhavuk Jain 在接受采訪時透露，他發(fā)現(xiàn)的漏洞存在于Apple啟動來自蘋果認(rèn)證服務(wù)器的請求之前，在客戶端上驗證用戶的過程中。

對于那些不知道的用戶，服務(wù)器在通過“使用Apple登錄”對用戶進(jìn)行身份驗證時，會生成JSON Web令牌（JWT），其中包含第三方應(yīng)用程序用來確認(rèn)登錄用戶身份的機(jī)密信息。

Bhavuk發(fā)現(xiàn)，盡管Apple要求用戶在發(fā)起請求之前先登錄其Apple帳戶，但并未驗證是否是同一個人，在下一步從身份驗證服務(wù)器請求JSON Web令牌（JWT）。

【 圖片來源：thehackernews.com  所有者：thehackernews.com 】

因此，該機(jī)制缺少的驗證可能允許攻擊者提供屬于受害者單獨的Apple ID，從而誘騙Apple服務(wù)器生成有效的JWT有效負(fù)載，該有效負(fù)載可以使用受害者的身份登錄到第三方服務(wù)。

“我發(fā)現(xiàn)我可以向JWT請求來自Apple的任何電子郵件ID，當(dāng)使用Apple的公鑰驗證了這些令牌的簽名后，它們就顯示為有效。這意味著攻擊者可以通過鏈接任何Email ID并獲得訪問權(quán)限來偽造JWT，從而獲得受害者的帳戶?！?/p>

研究人員證實，即使用戶選擇從第三方服務(wù)中隱藏電子郵件ID，該漏洞仍然有效，并且該漏洞還可以利用受害者的Apple ID來注冊新帳戶。

“此漏洞的影響非常嚴(yán)重，因為它可能會導(dǎo)致整個帳戶被接管。許多開發(fā)人員已將“使用Apple登錄”集成在一起，因為對于支持其他社交登錄的應(yīng)用程序來說，它是強(qiáng)制性的。舉幾個使用“使用Apple登錄”的用戶為例- Dropbox，Spotify，Airbnb，Giphy（現(xiàn)已被Facebook收購）。” Bhavuk補(bǔ)充說。

盡管該漏洞存在于Apple端代碼，但研究人員表示，某些向其用戶提供“使用Apple登錄”的服務(wù)和應(yīng)用程序可能已經(jīng)在使用二次身份驗證功能，從而可以緩解用戶登錄中的漏洞問題。

Bhavuk上個月向蘋果安全團(tuán)隊報告了此問題，該公司現(xiàn)在已修復(fù)此漏洞。作為回應(yīng)，除了向研究人員支付賞金之外，蘋果公司還確認(rèn)已對他們的服務(wù)器日志進(jìn)行了調(diào)查，發(fā)現(xiàn)該漏洞并未被利用來破壞任何帳戶。（雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)）

雷鋒網(wǎng)編譯，via thehackernews

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。