一周以來,我們發現在不同的網站和第三方互聯網服務中,我們可以“登錄” 蘋果ID。 事實是,我第一次見到他時,我皺了皺鼻子,可不是很有趣。 對於這些事情,我已經有一個“垃圾” Gmail帳戶,無論我是否收到垃圾郵件,我都不在乎,因為我從沒看過。
如果確實在Apple建立了該系統之後,就確保使用該系統的Web服務不會獲取用戶數據或不允許其發送垃圾郵件。 但是,以防萬一,我不打算使用它。 現在我們知道有一個 安全漏洞 在這個系統中,公司對錯誤的發現者給予了很好的獎勵。
帶有“使用Apple登錄”的安全漏洞可能使黑客能夠完全控制通過此系統訪問的用戶帳戶。 幸運的是,該錯誤是由印度安全研究人員發現的 巴甫克·in那.
100.000美元獎金
這是我的前6位數賞金 @蘋果。 博客文章將在下週發布。 #bugbounty pic.twitter.com/QygxvtGYJb
-Bhavuk Jain(@ bhavukjain1) 2020 年 5 月 24 日
在周末發布的博客文章中,Jain指出,他在XNUMX月份使Apple意識到了該漏洞。 他們很快從庫比蒂諾(Cupertino)驗證了錯誤,並已解決。 得益於Apple的錯誤賞金計劃,計算機科學家獲得了豐厚的回報 美元100.000 感謝發現的重要發現。
該錯誤涉及使用系統«時生成的Web令牌的問題。使用Apple登錄»在第三方Web服務中。 Jain指出,該漏洞使任何人都可以請求任何Apple電子郵件ID的令牌。 然後可以將它們用作令牌以驗證身份。 這將使攻擊者可以通過將令牌鏈接到Apple ID來欺騙令牌。 從這裡,陌生人將擁有被入侵的Apple iD的完全訪問權限。
許多開發人員已經集成了“使用Apple登錄”,該帳戶需要一個帳戶,並且他們已經具有其他社交登錄名。 例如, Facebook,Dropbox,Spotify,Airbnb,Giphy 等。
如果在驗證用戶時未採取其他安全措施,則這些應用可能很容易受到整個帳戶的接管。 根據Jain所說,Apple進行了調查,並確定 沒有帳戶被盜 由於此登錄,然後修復了安全漏洞。