☆ 推薦 ☆
強烈建議更新 iOS 18.1.1 !! 以免瀏覽網頁時遭駭客入侵 舊機型也有
中共害怕自己老百姓?享受寒酸的自由 夜騎共伴效應
川普2.0人事浮現 一票對中強狠角色 沈明室:習近平2027無心思攻台
川普新政2.0推動國際秩序重整 排中納台?新版WTO.UN.WHO台灣來了...
川普上台 不會打仗?烏克蘭怕被賣?台灣該緊張了…
貨幣史上最大的騙局~一夜致富~吸金直逼比特幣
【LIVE】美國大選2024:共和黨參選人川普發表勝選演說
資安專家發現「Sign in with Apple」爆可被挾持的漏洞!蘋果證實並已修補研究人員獲10萬美元
2020/6/1 下午 05:12:08
Apple「Sign in with Apple」功能號稱能較其他登入方式更能保障使用者的資訊安全。不過研究人員近日披露,Sign in with Apple中暗藏一個漏洞(Zero-day),讓有心人士得以輕鬆繞過身分驗證機制,直接取得用戶以Apple ID註冊網站的帳號權限。目前蘋果已修復該漏洞,並向研究人員支付10萬美元獎金。
#Apple #資安
Apple在去年6月WWDC開發者大會上推出了一項名為「Sign In with Apple」的登入(SSO)工具,以提供擁有 Apple ID 的用戶用戶在使用第三方服務商時,不必再使用傳統輸入帳號密碼的方式並可快速登入,目前包括像是:Dropbox、Spotify、Airbnb這類應用程式均有支援這項功能;蘋果官方並宣稱該快速登入方式可保護用戶個資,並盡可能減少分享給第三方服務、App 的數據量。
資安專家 Bhavuk Jain 日前就因為在第三方 app 中發現了這方面的問題,從 Apple 那裡領到了 10 萬美元的抓蟲獎金。「Sign In with Apple」是透過JSON Web Token(JWT)或蘋果伺服器生成的程式碼對用戶進行身分驗證,接著,蘋果將讓用戶自行選擇要共享Apple ID資訊或另建一個中繼ID,而這個中繼ID即是攻擊者得以存取用戶帳號權限的破口。此漏洞並不是讓有心人士存取用戶的Apple ID帳號,而是用戶以「Sign in with Apple」註冊的第三方服務。
而目前這個已知存在於「Sign In with Apple」的漏洞已獲得修補。按其官方說法,目前並沒有證據顯示該漏洞曾被人利用來危害任何帳戶。
資安專家 Bhavuk Jain 日前就因為在第三方 app 中發現了這方面的問題,從 Apple 那裡領到了 10 萬美元的抓蟲獎金。「Sign In with Apple」是透過JSON Web Token(JWT)或蘋果伺服器生成的程式碼對用戶進行身分驗證,接著,蘋果將讓用戶自行選擇要共享Apple ID資訊或另建一個中繼ID,而這個中繼ID即是攻擊者得以存取用戶帳號權限的破口。此漏洞並不是讓有心人士存取用戶的Apple ID帳號,而是用戶以「Sign in with Apple」註冊的第三方服務。
而目前這個已知存在於「Sign In with Apple」的漏洞已獲得修補。按其官方說法,目前並沒有證據顯示該漏洞曾被人利用來危害任何帳戶。
🎯找相關: Apple 資安
