印度信息安全领域研究人员 Bhavuk Jain 因发现“Sign in with Apple”功能中的危险漏洞而获得了 100 万美元奖励,该功能被 Apple 设备的所有者用来在第三方进行安全授权使用个人 ID 的应用程序和服务。
我们讨论的是一个漏洞,攻击者利用该漏洞可以控制使用 Apple 登录工具进行授权的应用程序和服务中的受害者帐户。 提醒一下,“使用 Apple 登录”是一种保护隐私的身份验证机制,可让您注册第三方应用程序和服务而无需透露您的电子邮件地址。
使用 Apple 登录身份验证过程会生成 JSON Web 令牌,其中包含第三方应用程序可用于验证登录用户身份的敏感信息。 利用上述漏洞,攻击者可以伪造与任何用户 ID 关联的 JWT 令牌。 因此,攻击者可以代表受害者通过支持此工具的第三方服务和应用程序中的“使用 Apple 登录”功能进行登录。
研究人员上个月向苹果报告了该漏洞,现已修复。 此外,苹果专家进行了调查,在实践中并未发现该漏洞被攻击者利用的案例。
来源: 3dnews.ru