欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

Sign-in-with-Apple 0 day漏洞可劫持任意账户

admin2020-06-0277漏洞

Apple公司近日通过漏洞奖励计划向印度漏洞研究人员Bhavuk Jain发放了10万美元的漏洞奖励,感谢其发现的影响'Sign in with Apple'系统的严重0 day漏洞。远程攻击者利用该漏洞可以绕过认证,接管目标用户通过'Sign in with Apple'功能注册的第三方服务和app上的账户。

Sign-in-with-Apple 0 day漏洞可劫持任意账户  漏洞 第1张

'Sign in with Apple'特征是2019年苹果WWDC大会上引入的一个新的保留隐私的登陆机制,允许用户在不泄露其真实邮箱地址(Apple ID)的情况下通过第三方app登入账户。

Bhavuk Jain称,该漏洞产生的原因是苹果在初始化来自苹果认证服务器的请求前,在客户端验证用户的方式存在问题。在通过'Sign in with Apple'认证用户时,服务器会生成一个含有第三方应用用来确认登陆用户身份的机密信息的JSON Web Token (JWT)。

Sign-in-with-Apple 0 day漏洞可劫持任意账户  漏洞 第2张

Bhavuk发现虽然苹果要求用户在初始化请求之前要登入苹果账户,但在下一步并不会验证是不是相同的人在请求JSON Web Token (JWT)。因此,现有机制缺乏一个验证的步骤,会导致攻击者提供了一个属于受害者的额外的Apple ID,诱使苹果服务器生成用受害者身份登入第三方服务的JWT payload。

Bhavuk称,可以请求注册了苹果ID的Email的JSW,当这些token的签名经过苹果的公钥验证后,就是有效的。也就是说攻击者可以通过链接任意邮箱Email ID和获取受害者账户的访问权限来伪造一个JWT。

研究人员向Hacker News确认即时用户选择向第三方服务隐藏邮箱地址,攻击者仍然可以利用该漏洞来用受害者的Apple ID来注册新的账户。

该漏洞的影响非常严重,可以用来完全接管账户。因为许多开发者都使用了Sign in with Apple功能,比如Dropbox、Spotify、Airbnb、Giphy等。虽然该漏洞位于apple侧的代码中,但研究人员称一些提供'Sign in with Apple'的服务和应用可以使用双因子认证的方式来缓解这一漏洞带来的影响。

Bhavuk已于4月将该漏洞提交给了apple公司,苹果也发布了该漏洞的补丁。除了发布漏洞补丁外,苹果公司称还分析了服务器日志,并没有发现任何apple账户被利用的期情况。

更多技术细节参见:https://bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/

本文翻译自:https://thehackernews.com/2020/05/sign-in-with-apple-hacking.html
2020年第一季度国外的垃圾邮件和网络钓鱼活动回顾

如果一张公园的门票高达475美元,你还会买吗?如果这时旁边有人告诉你有个网站正在出售半价票,你会不会动心?下图正是钓鱼攻击者利用用户贪便宜的心理发起的攻击。 诈骗者试图使他们的网站尽可能接近原始网站,甚至带有票证说明的页面看起来都是真实的。 如上图所示,伪造的钓鱼网页与原始版本仅有三大区别,实际上只有主页和购票部分可用。 再比如,2020年2月,在举行第92届奥斯卡颁奖典礼的前一夜,网站就会弹出提供免费观看所有提名电影的信息,欺诈者的目标用户是渴望在颁奖之前观看入围电影的用户。 为了推广这些网站,欺诈者还创建了Twitter帐户,每一部提名电影都有一个推特账号。 好奇的用户会被邀请访问该资源,在观看了几分钟之后,用户就被要求进行注册,否则就无法继续观看。 在注册过程中,

网友评论