蘋果為ID驗證漏洞,支付十萬美元賞金
劉海濤 / 何渝婷編譯
2020-06-01 10:00

近日,蘋果最近向印度漏洞研究人員Bhavuk Jain,支付了100000美元賞金,獎勵其發現影響「使用Apple登錄」系統的嚴重漏洞。該漏洞是Bhavuk上個月向蘋果安全團隊報告,目前蘋果現在已修復此漏洞。

這個已修補的漏洞,可以使遠程攻擊者繞過身份驗證,接管使用「使用Apple登錄」選項註冊的第三方服務和應用程式上的帳戶。

去年,蘋果公司在WWDC會議啓動了「蘋果ID」登錄第三方的保護隱私機制,該機制允許用戶使用蘋果ID註冊第三方應用程式帳戶,並且無需透露實際電子郵件地址。

Bhavuk Jain 在向媒體表示,他發現的漏洞存在於Apple在啓動過程中,與蘋果伺服器認證過程中。

對於那些不瞭解實際情況的用戶,在伺服器上通過「使用Apple登錄」進行用戶身份驗證時,可以生成JSON Web令牌(JWT),其中就包含第三方應用程式,發來確認登錄用戶身份的機密資訊。

Bhavuk發現,儘管Apple會要求用戶在發起請求之前,登錄Apple帳戶,但是並沒有驗證是否是同一個人在身份驗證伺服器,請求JSON Web令牌(JWT)。

所以,該機制中缺少的驗證問題,可能允許攻擊者獲取屬於受害者的單獨Apple ID,從而誘騙Apple伺服器生成有效的JWT,最終導致受害者的身份資訊被其他人從第三方獲取。

Bhavuk表示:「我發現可以向JWT請求來自Apple的任何電子郵件ID,並且使用Apple公鑰驗證獲取的令牌簽名後,就可以登錄。這意味攻擊者可以通過連結,獲取任何Email ID並通過訪問權限偽造JWT,進而訪問受害者帳戶。」

即使在第三方服務中隱藏電子郵件ID,該漏洞仍然有效,並且駭客可以利用該漏洞利用受害者的Apple ID來註冊新帳戶。

Bhavuk還補充說:「此漏洞的影響非常嚴重,因為它可能導致整個帳戶被駭客接管。」

現在許多開發人員已將Sign In與Apple集成在一起,因為這種方式可以幫助其他社交工具減少獲客成本。

開發人員表示,儘管該漏洞存在於Apple程式碼端,但是用戶「使用Apple登錄」的服務和應用程式中並不受到影響,而且蘋果公司現在已修復此漏洞。

在發放獎金之後,蘋果公司正在公司的伺服器進行調查,從而確定過去因為該漏洞被影響和破壞的帳戶。

需要注意的是,除了這次漏洞,本月早些時候德國達姆施塔特工業大學的研究人員,檢查了 MagicPairing 協議中,還發現了iOS、macOS 和它們之間的十個公開漏洞,這些漏洞至今尚未得到解決。

本文為雷鋒網授權刊登,原文標題為「蘋果為ID驗證漏洞,支付十萬美元賞金