蘋果第三方登入服務Sign with Apple爆出重大漏洞 可能讓駭客劫持用戶帳號

這項漏洞可讓遠端攻擊者繞過蘋果的驗證機制而接管受害者透過Sign with Apple註冊的第三方服務或應用程式帳號。蘋果獲報後已經修補了漏洞。

近日印度安全研究人員Bhavuk Jain發現並通報Sign with Apple系統內一個重大漏洞,獲得蘋果頒發10萬美元獎金。

這項漏洞可讓遠端攻擊者繞過蘋果的驗證機制而接管受害者透過Sign with Apple註冊的第三方服務或應用程式帳號。蘋果獲報後已經修補了漏洞。

Sign with Apple原是為了安全登入

蘋果於去年WWDC大會上公佈的Sign with Apple是一種隱私登入系統,允許用戶不必洩露真正的電子郵件信箱(也用於Apple ID)登入第三方應用程式。在註冊第三方應用程式或網站前,蘋果讓用戶有二種選項,一是提供自己的Apple Email ID,或是隱藏起來,由蘋果產生一個中介Email ID來註冊。

Jain解釋,當蘋果伺服器透過Sign with Apple驗證使用者身份時,會產生一個包含秘密資訊的JSON Web Token (JWT),應用程式就是用這個資訊來驗證使用者的身份。這個漏洞位於用戶端向蘋果驗證伺服器發出呼叫前,在用戶端裝置上驗證使用者這段過程中。

Bhavuk發現,雖然蘋果要求使用者發出呼叫前登入蘋果帳號,但並沒有驗證向蘋果伺服器呼叫JSON Web Token的是不是同一人。因此,這給了攻擊者一個機會,提供任何Email ID來呼叫JWT,而這JWT的簽章也可透過蘋果公鑰驗證為有效。也就是說,攻擊者可在這個過程中用任何Email ID假造JWT,然後存取並接管受害者的應用程式帳號。

Apple條款形同強迫應用開發者加入Sign with Apple

研究人員證實,即使使用者不透露自己的Email ID給第三方應用程式或網站,還是會被劫持其帳號。而由於去年蘋果要求支援社交平台帳號登入的應用程式,也必須支援Sign with Apple,因此影響層面很大,不論是Dropbox、Spotify、Airbnb、Giphy等帳號都面臨被劫持的風險。

不過,如果這些App同時提供使用多因素驗證,則可以降低用戶帳號劫持可能性。

研究人員今年4月通報蘋果後,蘋果已經完成漏洞修補,並且依據抓漏獎勵方案,發給這名研究人員10萬美元獎金。蘋果也指出,經過調查,證實沒有任何帳號因此漏洞被駭入。

來源:The Hacker News

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416