近日蘋果向印度漏洞安全研究專家Bhavuk Jain支付了高達10萬美元的鉅額賞金,原因就是他報告了存在於Sign in with Apple中的嚴重高危漏洞。Sign in with Apple(透過Apple登入),能讓你利用現有的Apple ID快速、輕鬆地登入 App 和網站,目前按該漏洞已經修復。
該漏洞允許遠端攻擊者繞過身份驗證,接管目標使用者在第三方服務和應用中使用Sign in with Apple建立的帳號。在接受外媒The Hacker News採訪的時候,Bhavuk Jain表示在向蘋果的身份驗證伺服器發出請求之前,蘋果客戶端驗證使用者方式上存在漏洞。
透過“Sign in with Apple”驗證使用者的時候,伺服器會包含秘密資訊的JSON Web Token(JWT),第三方應用會使用JWT來確認登入使用者的身份。Bhavuk發現,雖然蘋果公司在發起請求之前要求使用者先登入到自己的蘋果賬戶,但在下一步的驗證伺服器上,它並沒有驗證是否是同一個人在請求JSON Web Token(JWT)。
近日蘋果向印度漏洞安全研究專家Bhavuk Jain支付了高達10萬美元的鉅額賞金,原因就是他報告了存在於Sign in with Apple中的嚴重高危漏洞。Sign in with Apple(透過Apple登入),能讓你利用現有的Apple ID快速、輕鬆地登入 App 和網站,目前按該漏洞已經修復。
該漏洞允許遠端攻擊者繞過身份驗證,接管目標使用者在第三方服務和應用中使用Sign in with Apple建立的帳號。在接受外媒The Hacker News採訪的時候,Bhavuk Jain表示在向蘋果的身份驗證伺服器發出請求之前,蘋果客戶端驗證使用者方式上存在漏洞。
透過“Sign in with Apple”驗證使用者的時候,伺服器會包含秘密資訊的JSON Web Token(JWT),第三方應用會使用JWT來確認登入使用者的身份。Bhavuk發現,雖然蘋果公司在發起請求之前要求使用者先登入到自己的蘋果賬戶,但在下一步的驗證伺服器上,它並沒有驗證是否是同一個人在請求JSON Web Token(JWT)。
因此,該部分機制中缺失的驗證可能允許攻擊者提供一個屬於受害者的單獨的蘋果ID,欺騙蘋果伺服器生成JWT有效的有效載荷,以受害者的身份登入到第三方服務中。Bhavuk表示:“我發現我可以向蘋果公司的任何Email ID請求JWT,當這些令牌的簽名用蘋果公司的公鑰進行驗證時,顯示為有效。這意味著,攻擊者可以透過連結任何Email ID來偽造JWT,並獲得對受害者賬戶的訪問許可權。”
Bhavuk表示即使你選擇隱藏你的電子郵件ID,這個漏洞同樣能夠生效。即使你選擇向第三方服務隱藏你的電子郵件ID,也可以利用該漏洞用受害者的Apple ID註冊一個新賬戶。
Bhavuk補充道:“這個漏洞的影響是相當關鍵的,因為它可以讓人完全接管賬戶。許多開發者已經將Sign in with Apple整合到應用程式中,目前Dropbox、Spotify、Airbnb、Giphy(現在被Facebook收購)都支援這種登入方式。”
Bhavuk在上個月負責任地向蘋果安全團隊報告了這個問題,目前該公司已經對該漏洞進行了補丁。除了向研究人員支付了bug賞金外,該公司在迴應中還確認,它對他們的伺服器日誌進行了調查,發現該漏洞沒有被利用來危害任何賬戶