行业新闻与博客

一位安全研究人员在发现“用苹果登录”身份验证技术中的缺陷后，获得了 100,000 美元的赏金。

Apple 的身份验证功能被第三方应用程序用作登录机制。用户可以通过其 Apple ID 登录 Dropbox，Spotify，Airbnb 等帐户，而无需设置其他登录名和密码组合。

安全研究员 Bhavuk Jain 发现此机制存在缺陷，因此攻击者有可能利用依赖于“用 Apple 登录”的网络属性来劫持用户帐户。

in 那教（Jain）展示了有缺陷的 Web 身份验证机制，而不是证实的接管能力。

Jain 表示：“这些应用程序未经测试，但如果在验证用户时未采取任何其他安全措施，则很容易受到全部帐户接管的影响。”

代币安全

“使用 Apple 登录”使用 JSON Web 令牌（JWT）或 Apple 服务器生成的代码来验证应用访问者。

授权时，用户可以选择隐藏其 Apple Email ID。如果用户决定隐藏此 ID，则 Apple 会生成自己的用户特定的 Apple 中继电子邮件 ID。

成功授权后，Apple 将创建一个包含此电子邮件 ID 的 JWT，该电子邮件 ID 是第三方应用随后用于登录用户的令牌。

开拓进取

在检查了 JWT 有效载荷后，Jain 提出了一种伪造此令牌的方法，从而使他能够入侵目标帐户，如技术博客文章所述。

“我发现我可以向 JWT 请求 Apple 的任何电子邮件 ID，当使用 Apple 的公钥验证了这些令牌的签名后，它们就显示为有效，” Jain 写道。

“这意味着攻击者可以通过将任何电子邮件 ID 链接到 JWT 并获得对受害者帐户的访问权来伪造 JWT。”

他补充说：“此漏洞的影响非常关键，因为它可能允许完全收购帐户。”

“许多开发人员已经集成了“使用 Apple 登录”，因为对于支持其他社交登录的应用程序是强制性的。”

阅读更多最新的赏金新闻

根据安全研究人员的说法，Apple 的员工检查了他们的日志，并确定“没有由于此漏洞引起的滥用或帐户破坏”。

他告诉 The Daily Swig，如果 Apple 通知所有开发人员都需要在其应用程序中实现“使用 Apple 登录” 的通知，那么 Jain 会更仔细地研究该技术。

他解释说：“这使我开始思考“使用 Apple 登录”并了解其工作原理。” “那是我发现漏洞的时间。”

本文由机器译制