伪造的请求缺陷导致六位数的支出
更新安全研究人员的得分为100,000美元错误赏金在发现“与Apple”身份验证技术中发现缺陷之后。
苹果验证第三方应用程序将功能用作登录机制。用户可以通过其Apple ID登录到Dropbox,Spotify,Airbnb和其他人等帐户,从而避免需要设置另一个登录和密码组合。
安全研究员Bhavuk Jain发现这种机制是有缺陷的,因此攻击者可以劫持使用“与Apple签约”的Web属性的用户帐户劫持用户帐户。beplay体育能用吗
Jain展示了有缺陷的Web身份验证机制,而不是确认接beplay体育能用吗管帐户的能力。
Jain说:“这些应用程序未经过测试,但如果在验证用户时没有其他安全措施,则可能容易受到全面帐户收购的攻击。”
令牌安全性
“使用Apple登录”使用JSON Web代币(JWT)或Apple Servebeplay体育能用吗r生成的代码来验证应用程序访问者。
用户可以在授权的同时选择隐藏其Apple电子邮件ID。如果用户决定隐藏此ID,苹果生成自己的特定用户的Apple继电器电子邮件ID。
成功授权后,Apple创建了一个包含此电子邮件ID的JWT,该电子邮件ID随后由第三方应用程序用于登录用户。
前进
在检查了JWT有效载荷后,Jain弄清楚了一种伪造这个令牌的方法,使他能够入侵目标帐户,如A技术博客文章。
贾恩写道:“我发现我可以要求JWT提供来自Apple的任何电子邮件ID,当使用Apple的公钥验证这些令牌的签名时,它们显示为有效。”
“这意味着攻击者可以通过将任何电子邮件ID链接到它并访问受害者帐户来锻造JWT。”
他补充说:“这种脆弱性的影响至关重要,因为它可以允许全额收购。”
“许多开发人员都集成了'与苹果的签名',因为它是支持其他社会登录的应用程序的强制性。”
根据安全研究人员的说法,苹果的工作人员经历了日志,并确定“由于这种脆弱性,没有滥用或帐户妥协”。
苹果通知他告诉他,所有开发人员都需要在应用程序中实施“与Apple签约”,如果他们使用某种社交登录名,促使Jain更仔细地检查该技术。每日swbeplay2018官网ig。
他解释说:“这使我绕着'与Apple签约'并了解它的工作原理。”“那是我发现脆弱性的时候。”
Ja那教不同意这样的缺陷,也不同意Facebook技术的最新缺点意味着消费者会做得更好,为每个帐户创建自己的登录凭据,而不是依靠等技术Oauth。
“到处都有虫子,这种虫子很少见,” Jain告诉每日swbeplay2018官网ig。“我觉得Oauth仍然是用户应使用的最佳方式。
他补充说:“它比使用密码快速,方便且更好。”
Jain得出结论:“人们倾向于在不同的网站上使用相同的密码,因此,如果这些网站中的任何一个被妥协并泄露了密码,则会增加风险。”beplay体育能用吗
此故事的更新是为了添加Bhavuk Jain的评论
