网站首页 > 博客文章 正文
苹果用户在使用APP或者登录网站账号时,不可避免地会遇到“使用Apple ID登录”的弹框提示,这种操作可以免去重新注册账号的麻烦。
但是,近日曝出苹果这一“使用Apple ID登录”功能存在高危漏洞,黑客可以利用该漏洞攻击用户设备,甚至进行账号劫持。
原本是为了提高苹果用户账号安全的一项功能,如今却因存在漏洞反被黑客利用?
去年,苹果宣布引入“使用Apple ID登录”功能,作为一种隐私保护工具,旨在提高用户安全性,用户可以直接使用苹果账号登录,而无需透露自己的电子邮件、Twitter、Facebook等其他平台账号。不仅如此,苹果还承诺不会跟踪这一登录情况,仅保留登录所需信息。
对于用户来说,这一便利性功能广受欢迎,所以目前很多应用程序和网站都会采用这一功能,比如Spotify,Dropbox,Airbnb等。
技术是一把双刃剑,使用得好则便捷人们的生活,但是如果不法分子使用得好,则是窃取用户信息的利器。
漏洞允许使用任何其他Apple ID登录
4月,全栈研发人员Bhavuk Jain发现了苹果“使用Apple ID登录”功能的这一严重漏洞,该漏洞允许黑客使用任何其他Apple ID进行登录,带来的直接后果就是用户的第三方账户劫持。
随后,Bhavuk Jain向苹果上报了这一严重漏洞,获得了10万美元的漏洞赏金。
在Jain发布的博客中可以看到一些漏洞细节。一般而言,使用苹果服务器生成的JWT(JSON Web Token)身份验证令牌或者代码(可生成JWT)可进行用户验证。
苹果用户可自行选择是否与第三方应用程序共享Apple电子邮件 ID,如果用户同意共享,并对此进行授权,苹果将创建一个JWT,内含邮件ID,允许第三方应用程序登录账户。
因此,问题来了。攻击者可以将任何电子邮件ID链接到JWT上,伪造JWT来获取用户的访问权,而这一过程中使用的那个邮件ID无法验证是否是用户的真实账号。
因此,攻击者从而达到劫持用户第三方账号的目的。 所幸,目前苹果已经修复了该漏洞,且尚未发现由此引发的用户数据泄露。
Apple ID是苹果设备的安全钥匙,一旦被获取或者被利用则容易导致用户数据泄露或者引发勒索。利用Apple ID进行的诈骗案例也不在少数。比如,利用社会工程学引导用户登录诈骗分子的Apple ID,随后再进行设备锁定,勒索用户缴纳赎金。
因此,注意Apple ID要谨慎使用,比如尽量不要使用不正规的第三方助手,或者开启二步验证或者双重认证来提高安全性。
【图片来源于网络,侵删】
猜你喜欢
- 2024-10-11 苹果手机出现新严重漏洞:账户被接管
- 2024-10-11 你必须知道的十大漏洞之失效的访问控制——A1
- 2024-10-11 互联网小产品开发之(4)基于JWT的登录认证设计
- 2024-10-11 苹果在macOS,iOS中散布零日漏洞(如何在普通pc上安装macos苹果操作系统)
- 2024-10-11 「热点」微软自动化服务被爆高危的账户越权访问漏洞
- 2024-10-11 黑客发现苹果安全漏洞;苹果支付10万美元赏金
- 2024-10-11 垂直越权漏洞与代码分析(垂直越权漏洞修复方案)
- 2024-10-11 Apple登录功能存在安全漏洞,允许未经授权的黑客访问用户信息
- 2024-10-11 在Web应用中,别再把JWT当做session使用
- 2024-10-11 Java 15以上版本爆加密漏洞:CVE-2022-21449
你 发表评论:
欢迎- 最近发表
-
- 给3D Slicer添加Python第三方插件库
- Python自动化——pytest常用插件详解
- Pycharm下安装MicroPython Tools插件(ESP32开发板)
- IntelliJ IDEA 2025.1.3 发布(idea 2020)
- IDEA+Continue插件+DeepSeek:开发者效率飙升的「三体组合」!
- Cursor:提升Python开发效率的必备IDE及插件安装指南
- 日本旅行时想借厕所、买香烟怎么办?便利商店里能解决大问题!
- 11天!日本史上最长黄金周来了!旅游万金句总结!
- 北川景子&DAIGO缘定1.11 召开记者会宣布结婚
- PIKO‘PPAP’ 洗脑歌登上美国告示牌
- 标签列表
-
- ifneq (61)
- messagesource (56)
- aspose.pdf破解版 (56)
- promise.race (63)
- 2019cad序列号和密钥激活码 (62)
- window.performance (66)
- qt删除文件夹 (72)
- mysqlcaching_sha2_password (64)
- ubuntu升级gcc (58)
- nacos启动失败 (64)
- ssh-add (70)
- jwt漏洞 (58)
- macos14下载 (58)
- yarnnode (62)
- abstractqueuedsynchronizer (64)
- source~/.bashrc没有那个文件或目录 (65)
- springboot整合activiti工作流 (70)
- jmeter插件下载 (61)
- 抓包分析 (60)
- idea创建mavenweb项目 (65)
- vue回到顶部 (57)
- qcombobox样式表 (68)
- vue数组concat (56)
- tomcatundertow (58)
- pastemac (61)
本文暂时没有评论,来添加一个吧(●'◡'●)