苹果是一款加强隐私保护的工具,它允许用户登录第三方应用程序,而无需透露他们的电子邮件地址,只是修复了一个漏洞,使攻击者有可能未经授权访问这些帐户。
应用程序开发者巴乌克·贾恩周日写道:“在4月份,我发现苹果公司有一个零日登录系统,影响了使用该系统的第三方应用程序,而这些应用程序并没有实施自己的额外安全措施。”“这个漏洞可能会导致完全接管第三方应用程序的用户帐户,而不管受害者是否拥有有效的苹果ID。”
根据苹果公司的漏洞奖励计划,杰恩私下向苹果公司报告了这一漏洞,并获得了高达10万美元的奖励。在苹果更新登录服务以修补漏洞后,开发者分享了详细信息。
“与苹果签约”于去年10月首次亮相,是一种更简单、更安全、更私密的登录应用程序和网站的方式。许多第三方iOS和iPadOS应用程序都要求用户可以选择与苹果公司签约,面对这一要求,许多备受瞩目的服务公司委托大量敏感用户数据使用,采用了这一方式。
iPhone和iPad用户无需使用社交媒体账号或电子邮件地址、填写网络表格和选择特定账号的密码,只需点击一个按钮,就可以使用Face ID、Touch ID或设备密码登录。这个漏洞让用户看到了他们的第三方账户被完全劫持的可能性。
登录服务的工作方式类似于OAuth 2.0标准,它通过使用jwt (JSON Web tokent的缩写)或Apple服务器生成的代码登录用户。在后一种情况下,代码用于生成JWT。苹果用户可以选择与第三方共享苹果电子邮件ID,也可以选择隐藏该ID。当用户隐藏ID时,苹果会创建一个JWT,其中包含一个特定于用户的中继ID。
“我发现我可以向JWTs索要任何来自苹果的电子邮件ID,当这些令牌的签名使用苹果的公钥进行验证时,它们显示是有效的,”Jain写道。“这意味着攻击者可以通过将任何电子邮件ID链接到JWT,并获得受害者账户的访问权,从而伪造JWT。