来源: 时间:2023-01-22 11:35:07
据报道,苹果已向印度开发人员支付了100,000美元 (约合75万卢比),以在 “使用苹果登录” 过程中发现关键错误。27岁的开发人员Bhavuk Jain在 “使用apple登录” 过程中发现了一个 “零日” 错误,该错误可能允许黑客在第三方应用程序上接管用户的帐户。
“如果我说,你的电子邮件ID是我在你最喜欢的网站或应用程序上接管你的账户所需要的。听起来很吓人,对吧?这就是 “用苹果登录” 中的一个错误允许我做的事情。“。贾恩在一篇博客文章中说。
“在4月的一个月里,我发现 '用苹果登录' 的零日时间影响了使用它的第三方应用程序,这些应用程序没有实施自己的额外安全措施。无论受害者是否具有有效的Apple ID,此错误都可能导致该第三方应用程序上的用户帐户的完整帐户接管,”他补充说。
去年6月介绍了 “用苹果登录”。它允许用户设置用户帐户,以使用其Apple ID登录第三方应用程序,而无需使用其电子邮件地址。这是通过生成一个JSON Web令牌或JWT来完成的,该令牌包含第三方应用程序在保留用户隐私的同时确认用户身份所需的信息。但是,“零日” 错误使用户帐户受到攻击。
另请阅读以下内容: 如何参加Apple Security赏金计划
Jain在他的博客文章中解释说,没有验证来检查生成JWT的同一用户是否正在请求JWT登录到第三方帐户。黑客本可以通过伪造JWT来利用该漏洞。由于许多开发人员已经集成了 “使用apple登录”,因此此漏洞可能已被证明非常关键。
Jain在他的博客文章中还说,由于发现此漏洞,苹果根据其Apple Security赏金计划向他支付了100,000。问题已经解决。Jain补充说,苹果对他们的日志进行了调查,以确定没有由于此漏洞而造成的滥用或帐户受损。
相关推荐
猜你喜欢
