蘋果修復(fù)了一個(gè)可能讓黑客完全進(jìn)入用戶賬戶的漏洞

蘋果是一款加強(qiáng)隱私保護(hù)的工具，它允許用戶登錄第三方應(yīng)用程序，而無需透露他們的電子郵件地址，只是修復(fù)了一個(gè)漏洞，使攻擊者有可能未經(jīng)授權(quán)訪問這些帳戶。

應(yīng)用程序開發(fā)者巴烏克·賈恩周日寫道:“在4月份，我發(fā)現(xiàn)蘋果公司有一個(gè)零日登錄系統(tǒng)，影響了使用該系統(tǒng)的第三方應(yīng)用程序，而這些應(yīng)用程序并沒有實(shí)施自己的額外安全措施?！薄斑@個(gè)漏洞可能會(huì)導(dǎo)致完全接管第三方應(yīng)用程序的用戶帳戶，而不管受害者是否擁有有效的蘋果ID?！?/p>

根據(jù)蘋果公司的漏洞獎(jiǎng)勵(lì)計(jì)劃，杰恩私下向蘋果公司報(bào)告了這一漏洞，并獲得了高達(dá)10萬美元的獎(jiǎng)勵(lì)。在蘋果更新登錄服務(wù)以修補(bǔ)漏洞后，開發(fā)者分享了詳細(xì)信息。

“與蘋果簽約”于去年10月首次亮相，是一種更簡(jiǎn)單、更安全、更私密的登錄應(yīng)用程序和網(wǎng)站的方式。許多第三方iOS和iPadOS應(yīng)用程序都要求用戶可以選擇與蘋果公司簽約，面對(duì)這一要求，許多備受矚目的服務(wù)公司委托大量敏感用戶數(shù)據(jù)使用，采用了這一方式。

iPhone和iPad用戶無需使用社交媒體賬號(hào)或電子郵件地址、填寫網(wǎng)絡(luò)表格和選擇特定賬號(hào)的密碼，只需點(diǎn)擊一個(gè)按鈕，就可以使用Face ID、Touch ID或設(shè)備密碼登錄。這個(gè)漏洞讓用戶看到了他們的第三方賬戶被完全劫持的可能性。

登錄服務(wù)的工作方式類似于OAuth 2.0標(biāo)準(zhǔn)，它通過使用jwt (JSON Web tokent的縮寫)或Apple服務(wù)器生成的代碼登錄用戶。在后一種情況下，代碼用于生成JWT。蘋果用戶可以選擇與第三方共享蘋果電子郵件ID，也可以選擇隱藏該ID。當(dāng)用戶隱藏ID時(shí)，蘋果會(huì)創(chuàng)建一個(gè)JWT，其中包含一個(gè)特定于用戶的中繼ID。

“我發(fā)現(xiàn)我可以向JWTs索要任何來自蘋果的電子郵件ID，當(dāng)這些令牌的簽名使用蘋果的公鑰進(jìn)行驗(yàn)證時(shí)，它們顯示是有效的，”Jain寫道。“這意味著攻擊者可以通過將任何電子郵件ID鏈接到JWT，并獲得受害者賬戶的訪問權(quán)，從而偽造JWT?！?/p>