近日蘋(píng)果向印度漏洞安全研究專(zhuān)家Bhavuk Jain支付了高達(dá)10萬(wàn)美元的巨額賞金，原因就是他報(bào)告了存在于Sign in with Apple中的嚴(yán)重高危漏洞。Sign in with Apple(通過(guò)Apple登錄)，能讓你利用現(xiàn)有的Apple ID快速、輕松地登錄 App 和網(wǎng)站，目前按該漏洞已經(jīng)修復(fù)。

該漏洞允許遠(yuǎn)程攻擊者繞過(guò)身份驗(yàn)證，接管目標(biāo)用戶(hù)在第三方服務(wù)和應(yīng)用中使用Sign in with Apple創(chuàng)建的帳號(hào)。在接受外媒The Hacker News采訪的時(shí)候，Bhavuk Jain表示在向蘋(píng)果的身份驗(yàn)證服務(wù)器發(fā)出請(qǐng)求之前，蘋(píng)果客戶(hù)端驗(yàn)證用戶(hù)方式上存在漏洞。

通過(guò)“Sign in with Apple”驗(yàn)證用戶(hù)的時(shí)候，服務(wù)器會(huì)包含秘密信息的JSON Web Token(JWT)，第三方應(yīng)用會(huì)使用JWT來(lái)確認(rèn)登錄用戶(hù)的身份。Bhavuk發(fā)現(xiàn)，雖然蘋(píng)果公司在發(fā)起請(qǐng)求之前要求用戶(hù)先登錄到自己的蘋(píng)果賬戶(hù)，但在下一步的驗(yàn)證服務(wù)器上，它并沒(méi)有驗(yàn)證是否是同一個(gè)人在請(qǐng)求JSON Web Token(JWT)。

因此，該部分機(jī)制中缺失的驗(yàn)證可能允許攻擊者提供一個(gè)屬于受害者的單獨(dú)的蘋(píng)果ID，欺騙蘋(píng)果服務(wù)器生成JWT有效的有效載荷，以受害者的身份登錄到第三方服務(wù)中。Bhavuk表示：“我發(fā)現(xiàn)我可以向蘋(píng)果公司的任何Email ID請(qǐng)求JWT，當(dāng)這些令牌的簽名用蘋(píng)果公司的公鑰進(jìn)行驗(yàn)證時(shí)，顯示為有效。這意味著，攻擊者可以通過(guò)鏈接任何Email ID來(lái)偽造JWT，并獲得對(duì)受害者賬戶(hù)的訪問(wèn)權(quán)限。”

Bhavuk表示即使你選擇隱藏你的電子郵件ID，這個(gè)漏洞同樣能夠生效。即使你選擇向第三方服務(wù)隱藏你的電子郵件ID，也可以利用該漏洞用受害者的Apple ID注冊(cè)一個(gè)新賬戶(hù)。

Bhavuk補(bǔ)充道：“這個(gè)漏洞的影響是相當(dāng)關(guān)鍵的，因?yàn)樗梢宰屓送耆庸苜~戶(hù)。許多開(kāi)發(fā)者已經(jīng)將Sign in with Apple整合到應(yīng)用程序中，目前Dropbox、Spotify、Airbnb、Giphy(現(xiàn)在被Facebook收購(gòu))都支持這種登錄方式。”

Bhavuk在上個(gè)月負(fù)責(zé)任地向蘋(píng)果安全團(tuán)隊(duì)報(bào)告了這個(gè)問(wèn)題，目前該公司已經(jīng)對(duì)該漏洞進(jìn)行了補(bǔ)丁。除了向研究人員支付了bug賞金外，該公司在回應(yīng)中還確認(rèn)，它對(duì)他們的服務(wù)器日志進(jìn)行了調(diào)查，發(fā)現(xiàn)該漏洞沒(méi)有被利用來(lái)危害任何賬戶(hù)。

關(guān)鍵詞： 蘋(píng)果賬號(hào)