“Apple 登录”存在漏洞,目前已经上报苹果并修复
近日,研究员Bhavuk Jain发现“Apple登录( Sign in with Apple)”功能的漏洞可以访问链接的第三方服务上的用户帐户,目前次漏洞已经上报给苹果并得到修复。
外媒《 The Hacker News》介绍,该漏洞依赖于苹果“在从苹果的身份验证服务发起请求之前,先在客户端验证用户”的方式。 Apple登录身份验证过程由服务器生成一个JSON Web令牌,第三方应用程序使用该JSON Web令牌来确认用户的身分。
但是该漏洞的存在,可以通过伪造令牌并欺骗苹果的身份验证过程。
Bhavuk发现,尽管苹果要求用户在发起请求之前先登录其Apple帐户,但并未验证同一个人是否在下一步从其身份验证服务器请求JSON Web令牌。
因此,该机制中缺少的验证,给黑客提供了条件,从而诱骗苹果服务器生成有效的JSON Web令牌,以便让人用受害者的身份登录到第三方服务。这样也就间接获得了第三方账号。
“此漏洞的影响非常关键,因为它可能允许帐户完全泄露。许多开发人员已将Apple登录集成在一起,因此Dropbox,Spotify,Airbnb,Giphy等支持此服务的第三方均可能受到影响,”Bhavuk写道。
在他报告了该漏洞之后,苹果已经修复了该问题,并根据其漏洞赏金计划向研究人员支付了10万美元。苹果表示,他们调查了服务器日志,没有发现该漏洞曾被利用过。
Sign in with Apple是苹果公司在去年推出的一项登陆服务,按苹果的想法,用户不需要再繁琐地填入账号和密码,而只需要点击这个选项,系统便可以自动识别并认证你的个人身份,并通过匿名邮件服务为你注册账号。这种方式的基础是Apple ID跟其他第三方账号关联,从此只需要一个账号。为用户省力,并有保密的功能。当然,同时它也会将用户圈在苹果的生态里。
图文来自新浪数码,如有侵权请联系删除。
-
苹果悄然开启Apple TV和iOS单点登录功能
今天凌晨有开发者发现,苹果悄然开启了Apple TV和iOS设备里的单点登录(Single Sign-On)功能,目前这一功能仅出现在运行tvOS 10.1和iOS 10.2测试版的设备上。
-
“通过 Apple 登录”功能有什么好处?
“通过 Apple 登录” 是利用现有的 Apple ID 快速、轻松地登录 App 和网站的方式,它最大的好处就是私密性更强,更好得保障用户隐私。
-
设备提示Apple ID在异地请求登录该怎么办?
如果您在 iPhone 或其它设备上为 Apple ID 开启了双重认证,那么在您或他人使用您的 Apple ID 帐户进行登录时,被信任的 iOS 设备上会出现“Apple 登录请求”的提示。
-
苹果单点登录功能再增加10家内容供应商
近日美国又有 10 家电视供应商增加支持 Apple TV 和 iOS 设备里的单点登录(Single Sign-On)功能。
-
ESPN应用升级已经支持苹果的单次登录功能
今天 ESPN 的 iOS 应用迎来了更新,本次升级除了带来一些新的体育功能之外,还让用户可以更加轻松地使用单次登录(Single-Sign on,SSO)功能来观看苹果平台上的视频,以及增加了对 Chromecast 的支持。
