网站首页 > 博客文章 正文
印度的一个赏金猎人发现了一个苹果安漏洞,当您在网站或应用程序中注册帐户时,不公开个人信息应该可以提高“使用Apple登录”的安全性和隐私性。实际上,它可能会向知道您的电子邮件地址的任何人开放您的在线帐户,并且其技术足以将简单的请求发布到Apple ID服务器。
至少在印度的一个漏洞赏金猎人发现该漏洞并将其报告给苹果公司并获得10万美元的漏洞赏金之前。
本质上,任何人都可以为任何电子邮件ID请求令牌。然后,Apple的服务器将验证该令牌,以便攻击者可以访问您已链接到该帐户的任何帐户。
“我发现我可以向JWT请求来自Apple的任何电子邮件ID,当使用Apple的公钥验证了这些令牌的签名时,它们就显示为有效,” Bhavuk Jain在他的博客中发布。“这意味着攻击者可以通过将任何电子邮件ID链接到JWT并获得对受害者帐户的访问权来伪造JWT。”
贾恩(Jain)是一位受人尊敬的漏洞猎人,他发现了Facebook,Google,Pinterest和Yahoo等服务中的安全漏洞。他在四月份发现了该错误,但苹果此后对其进行了修复。根据Jain的说法,Apple“对他们的日志进行了调查,并确定没有由于此漏洞引起的滥用或帐户损害。”
但是,任何仅依赖于“与Apple登录”并且不执行其他安全措施的站点或服务都将受到攻击。
Jain说:“此漏洞的影响非常关键,因为它可能允许完全收购帐户。”“许多开发人员已将Sign In与Apple集成在一起,因为对于支持其他社交登录的应用程序是强制性的。”
Dropbox,Airbnb和Spotify只是使用该服务的少数组织。
苹果在其开发者网站上说:“使用Apple登录可以使用户轻松使用其Apple ID登录您的应用和网站。”“所有帐户均受到两因素身份验证的保护,以提供更高的安全性。”
猜你喜欢
- 2024-10-11 苹果手机出现新严重漏洞:账户被接管
- 2024-10-11 你必须知道的十大漏洞之失效的访问控制——A1
- 2024-10-11 互联网小产品开发之(4)基于JWT的登录认证设计
- 2024-10-11 苹果在macOS,iOS中散布零日漏洞(如何在普通pc上安装macos苹果操作系统)
- 2024-10-11 「热点」微软自动化服务被爆高危的账户越权访问漏洞
- 2024-10-11 垂直越权漏洞与代码分析(垂直越权漏洞修复方案)
- 2024-10-11 Apple登录功能存在安全漏洞,允许未经授权的黑客访问用户信息
- 2024-10-11 在Web应用中,别再把JWT当做session使用
- 2024-10-11 Java 15以上版本爆加密漏洞:CVE-2022-21449
- 2024-10-11 专业洞察:GitHub漏洞允许第三方应用程序获取升级权限
你 发表评论:
欢迎- 最近发表
-
- 给3D Slicer添加Python第三方插件库
- Python自动化——pytest常用插件详解
- Pycharm下安装MicroPython Tools插件(ESP32开发板)
- IntelliJ IDEA 2025.1.3 发布(idea 2020)
- IDEA+Continue插件+DeepSeek:开发者效率飙升的「三体组合」!
- Cursor:提升Python开发效率的必备IDE及插件安装指南
- 日本旅行时想借厕所、买香烟怎么办?便利商店里能解决大问题!
- 11天!日本史上最长黄金周来了!旅游万金句总结!
- 北川景子&DAIGO缘定1.11 召开记者会宣布结婚
- PIKO‘PPAP’ 洗脑歌登上美国告示牌
- 标签列表
-
- ifneq (61)
- messagesource (56)
- aspose.pdf破解版 (56)
- promise.race (63)
- 2019cad序列号和密钥激活码 (62)
- window.performance (66)
- qt删除文件夹 (72)
- mysqlcaching_sha2_password (64)
- ubuntu升级gcc (58)
- nacos启动失败 (64)
- ssh-add (70)
- jwt漏洞 (58)
- macos14下载 (58)
- yarnnode (62)
- abstractqueuedsynchronizer (64)
- source~/.bashrc没有那个文件或目录 (65)
- springboot整合activiti工作流 (70)
- jmeter插件下载 (61)
- 抓包分析 (60)
- idea创建mavenweb项目 (65)
- vue回到顶部 (57)
- qcombobox样式表 (68)
- vue数组concat (56)
- tomcatundertow (58)
- pastemac (61)
本文暂时没有评论,来添加一个吧(●'◡'●)