根据国外媒体的报道,研究员BhavukJain在4月发现了一个严重的“使用Apple登录”漏洞,这可能导致某些用户帐户被接管。值得一提的是,此错误特定于使用“通过Apple登录”功能且未实施其他安全措施的第三方应用程序。上海深蓝苹果专业维修
Jain指出,“使用Apple登录”通过JWT(JSONWeb令牌)或Apple服务器生成的代码对用户进行身份验证。然后,Apple为用户提供共享与其AppleID或私有中继电子邮件地址绑定的电子邮件的选项,这将创建用于登录用户的JWT。上海深蓝苹果专业维修
然后,贾恩(Jain)发现,一旦请求了用于AppleID电子邮件和专用中继电子邮件地址的JWT,并且使用Apple的公钥验证了令牌的签名,便“显示为有效”。如果未发现错误,则可以创建一个JWT并使用它来访问一个人的帐户。
Jain在接受TheHackerNews采访时谈到了该漏洞的严重性:上海深蓝苹果专业维修
此漏洞的影响至关重要,因为它可能允许完整的帐户接管。许多开发人员已经集成了“与Apple登录”,因为它对于支持其他社交登录的应用程序是必需的。仅有几个使用“使用Apple登录”功能的应用程序示例-Dropbox,Spotify,Airbnb,Giphy(现已被Facebook收购)。
根据Jain的说法,Apple对此进行了调查,得出的结论是,在修补漏洞之前,使用此方法不会破坏任何帐户。根据苹果公司的AppleSecurityBountyProgram(安全奖励赏金)计划,Jain因报告此漏洞而获得了100,000美元的奖励。上海深蓝苹果专业维修
本文tag标签:苹果手机出现新严重漏洞:账户被接管
上海徐汇区苹果维修点电话内容来源:https://sh.new-apple.com/apple/202.html