写点什么

Sign in with Apple 被曝零日漏洞,可远程劫持任意用户帐号

  • 2020-06-01
  • 本文字数:1249 字

    阅读完需:约 4 分钟

Sign in with Apple被曝零日漏洞,可远程劫持任意用户帐号


5 月 30 日,印度漏洞安全研究专家 Bhavuk Jain 在官方博客中披露:Sign in with Apple(通过 Apple 登录)中存在一个零日漏洞,影响非常严重,因为它允许攻击者远程劫持任意用户账户。


Bhavuk Jain 在博客中写道,“今年 4 月,我在 Sign in with Apple 中发现一个零日漏洞(zero-day)。如果第三方应用使用了 Sign in with Apple(通过 Apple 登录),并且未部署额外的安全措施,那么它们均会受到该零日漏洞的影响。“


最关键的是,该漏洞允许远程攻击者绕过身份验证,接管目标用户在第三方服务和应用中使用 Sign in with Apple 创建的账号。



据了解,在去年的 WWDC 上,苹果正式推出属于自己的第三方登录服务——Sign in with Apple(通过 Apple 登录)。


说起第三方登录,就不得不提 OAuth。简单说,OAuth 是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。

现在,大多数第三方登录都是基于 OIDC 或者利用 OAuth 2.0 修改实现的。


根据苹果官方解释:


"Sign in with Apple(通过 Apple 登录)"让用户能用自己的 Apple ID 轻松登录您的 app 和网站。用户不必填写表单、验证电子邮件地址和选择新密码,就可以使用“通过 Apple 登录”设置账户并立即开始使用您的 app。所有账户都通过双重认证受到保护,具有极高的安全性,Apple 亦不会跟踪用户在您的 app 或网站中的活动。


截至目前,有许多开发者已经将 Sign in with Apple 整合到应用程序中,比如国外的 Dropbox、Spotify、Airbnb、Giphy ,国内的喜马拉雅、懒饭、厨房故事等。这些应用程序未经测试,如果在验证用户时未采取其他任何安全措施,则可能被攻击者利用漏洞实现完全的账户接管。


据 Bhavuk Jain 的博客文章介绍,Sign in with Apple 的工作原理与 OAuth 2.0 类似,对用户身份的认证有两种办法:一种是利用 JWT(JSON Web Token),另一种是利用由 Apple 服务器生成的 code。


下面的示意图表示 JWT 创建和验证的工作方式。



通过“Sign in with Apple”验证用户时,服务器会包含秘密信息的 JWT,第三方应用会使用 JWT 来确认登录用户的身份。


Bhavuk Jain 发现,虽然苹果公司在发起请求前要求用户先登录到自己的苹果账户,但在下一步的验证服务器上,它并没有验证是否是同一个人在请求 JWT。


因此,该部分机制中缺失的验证可能允许攻击者提供一个属于受害者的单独的苹果 ID,欺骗苹果服务器生成 JWT 有效的有效载荷,以受害者的身份登录到第三方服务中。


Bhavuk Jain 说:“我发现我可以向苹果公司的任何 Email ID 请求 JWT,当这些令牌的签名用苹果公司的公钥进行验证时,显示为有效。这意味着,攻击者可以通过链接任何 Email ID 来伪造 JWT,并获得对受害者账户的访问权限。”


据悉,一个月前,他向苹果安全团队报告了这个问题,为此苹果向其支付了 10 万美元的巨额赏金。目前,苹果已经对该漏洞进行了修复,并且还对服务器日志进行了调查,发现该漏洞没有被用来危害任何用户账户。


参考资料:


Zero-day in Sign in with Apple


2020-06-01 15:095502
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 361.6 次阅读, 收获喜欢 1802 次。

关注

评论

发布
暂无评论
发现更多内容

全国大数据与计算智能挑战赛:面向低资源的命名实体识别基线方案,排名13/64

汀丶人工智能

人工智能 自然语言处理 关系抽取 命名实体识别 6 月 优质更文活动

平凯星辰重磅支持 2023 开放原子全球开源峰会,开源数据库分论坛成功召开

PingCAP

数据库 开源 TiDB

PoseiSwap IDO 即将开启,一览 $POSE 经济模型

股市老人

2023中国高校计算机大赛 — 大数据挑战赛:论文学科分类(清华大学主办)

汀丶人工智能

人工智能 自然语言处理 深度学习 文本分类 6 月 优质更文活动

为什么中国一有创新,就被说套壳?

脑极体

套壳

PoseiSwap IDO 即将开启,一览 $POSE 经济模型

西柚子

PoseiSwap IDO 即将开启,一览 $POSE 经济模型

威廉META

PoseiSwap IDO 即将开启,一览 $POSE 经济模型

鳄鱼视界

SpringWeb服务构建轻量级Web技术体系:SpringGraphQL

互联网架构师小马

【Netty】「萌新入门」(六)ByteBuf 的基本使用

sidiot

Java 后端 Netty 6 月 优质更文活动

【Netty】「萌新入门」(七)ByteBuf 的性能优化

sidiot

Java 后端 Netty 6 月 优质更文活动

关于未来LLM AI应用的思考,以及从0到1实现LLM资料分析。

Marvin Ma

ChatGPT LLM 企业级应用思考

PoseiSwap IDO 即将开启,一览 $POSE 经济模型

BlockChain先知

极限科技旗下软件产品 INFINI Easysearch 通过统信 UOS 认证

极限实验室

搜索引擎 UOS 统信 国产化替代 easysearch

JAVA实现一个工作流引擎

小小怪下士

Java 程序员 工作流

绿了,又绿了,现在程序员行情已经好转了吗?华为都不刷人了!

互联网架构师小马

Java java面试 Java八股文 Java面试题 Java面试八股文

横看Dubbo-微服务治理之流量防护

K

原创 微服务 dubbo sentinel

理论实战源码齐飞!架构师社区疯传的SpringSecurity进阶小册真香

程序员小毕

Java 程序员 架构师 springboot springsecurity

PoseiSwap IDO 即将开启,一览 $POSE 经济模型

大瞿科技

在Linux中,如何列出和删除 Iptables 防火墙规则?

wljslmz

6 月 优质更文活动

SpringWeb服务构建轻量级Web技术体系:SpringHATEOAS

互联网架构师小马

基于51单片机的智能营养秤系统设计与实现

DS小龙哥

6 月 优质更文活动

【Nest系列】1.初识 NestJS 和 Hello, World

昆吾kw

Node Nest.js

C语言编程语法—结构

芯动大师

C语言 语法 6 月 优质更文活动

2023-06-17:说一说redis中渐进式rehash?

福大大架构师每日一题

redis 福大大架构师每日一题

详谈数据中心网络中的四种不同类型的虚拟化技术:VXLAN、NVGRE、STT和SPBM

wljslmz

6 月 优质更文活动

Sign in with Apple被曝零日漏洞,可远程劫持任意用户帐号_安全_万佳_InfoQ精选文章