安全研究人员发现严肃的“与苹果签到”Hole获得10万美元的漏洞赏金

2020-06-01 19:43:01

当苹果在2019年6月的全球开发者大会上宣布登录苹果时,它称这是一种更私密的方式,可以简单、快速地登录应用程序和网站。这个想法过去是,现在仍然是一个好主意:用一个安全的身份验证系统取代可以用来收集个人数据的社交登录帐户,该系统得到了苹果承诺不会分析用户或他们的应用程序活动的支持。

当时获得大量关注的一个优点是,用户可以在不需要透露他们的Apple ID电子邮件地址的情况下注册第三方应用程序和服务。不出所料,它被认为是一种比使用Facebook或Google账户更注重隐私的选择。

快进到2020年4月,德里的一名安全研究人员发现了一个带有苹果漏洞的关键登录,可能会让攻击者只用一个电子邮件ID就能控制一个账户。这个关键漏洞被认为足够重要,以至于苹果通过其漏洞赏金计划向他支付了10万美元(约合8.1万英镑)作为奖励。

由于苹果现在已经在服务器端修补了这个漏洞,Bhavuk Jain在5月30日公布了他披露的这个令人震惊的安全漏洞。虽然这个漏洞只与使用苹果登录的第三方应用程序有关,但没有采取任何进一步的安全措施,但它令人震惊的原因有两个。

首先,因为它可以允许完全接管这些应用程序的用户账户,而不管受害者是否使用了有效的Apple ID电子邮件。

其次,可能更令人震惊的是,因为苹果在开发过程中自己没有发现这个关键的安全漏洞。

坦率地说,我不会深入讨论这个漏洞是如何在这里被利用的技术细节,因为除了最书呆子的读者之外,所有人都不会理解它。如果你想深入了解这一切,请看一看全部披露的内容。简而言之,贾恩发现他可以向苹果申请任何电子邮件ID的认证令牌,然后使用苹果的公钥进行验证,并因此确定为有效。

因此,攻击者可以伪造链接到任何电子邮件ID的令牌,并使用该令牌访问受害者的帐户。向第三方应用程序隐藏您的电子邮件ID并不能阻止此攻击。

这就是说,重要的是要注意到,贾恩说,苹果公司进行了内部调查,并确定在漏洞修复之前没有发生任何账户泄露或滥用事件。

我与ImmersiveLabs的中小企业应用安全主管肖恩·赖特(Sean Wright)谈到了这个漏洞,他称这个漏洞是一个重大缺陷。赖特还表示,他原本希望苹果这样的公司能在这个问题上进行更好的测试,尤其是在苹果试图树立注重隐私的声誉的情况下。

我已经要求苹果就这一问题发表声明,如果有即将发布的声明,我将更新文章。