欢迎来到noYes游戏王国
网站导航
在上一篇文章中,小编为您详细介绍了关于《一边爆炸一边上天马斯克赚钱、技术“一鱼两吃”》相关知识。本篇中小编将再为您讲解标题苹果为ID验证漏洞支付十万美元赏金。
原标题:苹果为ID验证漏洞 支付十万美元赏金
近日,苹果最近向印度漏洞研究人员Bhavuk Jain支付了100,000美元赏金,奖励其发现影响“ 使用Apple登录 ”系统的严重漏洞。该漏洞是Bhavuk上个月向苹果安全团队报告,目前苹果现在已修复此漏洞。这个已修补的漏洞,可以使远程攻击者绕过身份验证,接管使用“使用Apple登录”选项注册的第三方服务和应用程序上的帐户。
去年, 苹果 公司在WWDC会议启动了“苹果ID ”登录第三方的保护隐私机制,该机制允许用户使用苹果ID注册第三方应用程序帐户,并且无需透露实际电子邮件地址。
Bhavuk Jain 在向媒体表示,他发现的漏洞存在于Apple在启动过程中,与苹果服务器认证过程中。
对于那些不了解实际情况的用户,在服务器上通过“使用Apple登录”进行用户身份验证时,可以生成JSON Web令牌(JWT),其中就包含第三方应用程序发来确认登录用户身份的机密信息。
Bhavuk发现,尽管Apple会要求用户在发起请求之前,登录Apple帐户,但是并没有验证是否是同一个人在身份验证服务器请求JSON Web令牌(JWT)。
所以,该机制中缺少的验证问题,可能允许攻击者获取属于受害者的单独Apple ID,从而诱骗Apple服务器生成有效的JWT,最终导致受害者的身份信息被其他人从第三方获取。
Bhavuk表示:“我发现可以向JWT请求来自Apple的任何电子邮件ID,并且使用Apple公钥验证获取的令牌签名后,就可以登录。这意味攻击者可以通过链接获取任何Email ID 并通过访问权限伪造JWT,进而访问受害者帐户。”
即使在第三方服务中隐藏电子邮件ID,该漏洞仍然有效,并且黑客可以利用该漏洞利用受害者的Apple ID来注册新帐户。
Bhavuk还补充说:“此漏洞的影响非常严重,因为它可能导致整个帐户被黑客接管。”
现在许多开发人员已将Sign In与Apple集成在一起,因为这种方式可以帮助其他社交工具减少获客成本。
开发人员表示,尽管该漏洞存在于Apple代码端,但是用户“使用Apple登录”的服务和应用程序中并不受到影响,而且苹果公司现在已修复此漏洞。
在发放奖金之后,苹果公司正在公司的服务器进行调查,从而确定过去因为该漏洞被影响和破坏的帐户。
需要注意的是,除了这次漏洞,本月早些时候德国达姆施塔特大学的研究人员检查了 MagicPairing 协议中,还发现了iOS、macOS 和它们之间的十个公开漏洞,这些漏洞至今尚未得到解决。游戏网
编后语:关于《苹果为ID验证漏洞支付十万美元赏金》关于知识就介绍到这里,希望本站内容能让您有所收获,如有疑问可跟帖留言,值班小编第一时间回复。 下一篇内容是有关《京东国美拼多多达成新阵营“围攻”阿里》,感兴趣的同学可以点击进去看看。
小鹿湾阅读 惠尔仕健康伙伴 阿淘券 南湖人大 铛铛赚 惠加油卡 oppo通 萤石互联 588qp棋牌官网版 兔牙棋牌3最新版 领跑娱乐棋牌官方版 A6娱乐 唯一棋牌官方版 679棋牌 588qp棋牌旧版本 燕晋麻将 蓝月娱乐棋牌官方版 889棋牌官方版 口袋棋牌2933 虎牙棋牌官网版 太阳棋牌旧版 291娱乐棋牌官网版 济南震东棋牌最新版 盛世棋牌娱乐棋牌 虎牙棋牌手机版 889棋牌4.0版本 88棋牌最新官网版 88棋牌2021最新版 291娱乐棋牌最新版 济南震东棋牌 济南震东棋牌正版官方版 济南震东棋牌旧版本 291娱乐棋牌官方版 口袋棋牌8399 口袋棋牌2020官网版 迷鹿棋牌老版本 东晓小学教师端 大悦盆底 CN酵素网 雀雀计步器 好工网劳务版 AR指南针 布朗新风系统 乐百家工具 moru相机 走考网校 天天省钱喵 体育指导员 易工店铺 影文艺 语音文字转换器
