印度資訊安全領域研究人員 Bhavuk Jain 因發現「Sign in with Apple」功能中的危險漏洞而獲得了 100 萬美元獎勵,該功能被 Apple 設備的所有者用來在第三方進行安全授權使用個人ID 的應用程序和服務。
我們討論的是一個漏洞,攻擊者利用該漏洞可以控制使用 Apple 登入工具進行授權的應用程式和服務中的受害者帳戶。 提醒一下,「使用 Apple 登入」是一種保護隱私的身份驗證機制,可讓您註冊第三方應用程式和服務而無需透露您的電子郵件地址。
使用 Apple 登入驗證程序會產生 JSON Web 令牌,其中包含第三方應用程式可用於驗證登入使用者身分的敏感資訊。 利用上述漏洞,攻擊者可以偽造與任何使用者 ID 關聯的 JWT 令牌。 因此,攻擊者可以代表受害者透過支援此工具的第三方服務和應用程式中的「使用 Apple 登入」功能進行登入。
研究人員上個月向蘋果報告了該漏洞,現已修復。 此外,蘋果專家進行了調查,在實踐中並未發現該漏洞被攻擊者利用的案例。
來源: 3dnews.ru