研究人员发qg777钱柜客户端现“Apple 登录”安全漏洞:某些用户帐户可能被接管

文章正文
2020-06-03 19:24

据外媒报道,qg777钱柜客户端研究职员 Bhavuk Jain 在四月份觉察了一个严酷的「应用 Apple 登录」破绽,该破绽可以导致某些用户帐户被接纳。值得一提的是,钱柜qg777电脑版这个 Bug 特定于应用“通过Apple登录”功用且未实行其它保险法子的第三方利用。

Jain 指出「应用 Apple 登录」是通过 JWT(JSON Web 令牌)或苹果效劳器生成的代码关于用户进行身份考证的。而后,苹果供给给用户选择共享与他们的 Apple ID 绑定的电子邮件或私有中继电子邮件地址的选项,钱柜老虎机手机版网址这将创建用于登录用户的 JWT。

而后 Jain 觉察,一旦要求了用于 Apple ID 电子邮件跟专用中继电子邮件地址的 JWT,钱柜老虎机手机客户端并且应用苹果的公钥考证了令牌的签名,它就会「显示为有效」。如果尚未觉察该分歧同伴,网上棋牌网址则可能创建一个 JWT 并将其用于造访一个人的帐户。

Jain 在接收 The Hacker News 采访时谈到了该破绽的严酷性:

此破绽的影响非常要害,因为它可以准许完整的帐户接纳。良多开发职员已将「应用 Apple 登录」集成在一起,棋牌网站代理因为对支持其它社交登录的利用是强制性的。仅举多少例「应用 Apple 登录」功用的利用-Dropbox,Spotify,Airbnb,Giphy(现已被 Facebook 收购)。

依据 Jain 的说法,苹果关于此进行了考察,得出的论断是,在修补破绽之前,不任何帐户应用此行动被立坏。而依据苹果的 Apple Security Bounty Program(保险奖励赏金)计划,Jain 因报告该破绽而获得了 100,000 美元的奖励。

文章评论