4006-555-883

价值10万美金的Apple ID登录漏洞,无需密码完全接管你的账户

发布时间:2020-06-03 10:12:00

  苹果用户在使用APP或者登录网站账号时,不可避免地会遇到“使用Apple ID登录”的弹框提示,这种操作可以免去重新注册账号的麻烦。

  但是,近日曝出苹果这一“使用Apple ID登录”功能存在高危漏洞,黑客可以利用该漏洞攻击用户设备,甚至进行账号劫持。



  原本是为了提高苹果用户账号安全的一项功能,如今却因存在漏洞反被黑客利用?

  去年,苹果宣布引入“使用Apple ID登录”功能,作为一种隐私保护工具,旨在提高用户安全性,用户可以直接使用苹果账号登录,而无需透露自己的电子邮件、Twitter、Facebook等其他平台账号。不仅如此,苹果还承诺不会跟踪这一登录情况,仅保留登录所需信息。

  对于用户来说,这一便利性功能广受欢迎,所以目前很多应用程序和网站都会采用这一功能,比如Spotify,Dropbox,Airbnb等。

  技术是一把双刃剑,使用得好则便捷人们的生活,但是如果不法分子使用得好,则是窃取用户信息的利器。

  漏洞允许使用任何其他Apple ID登录

  4月,全栈研发人员Bhavuk Jain发现了苹果“使用Apple ID登录”功能的这一严重漏洞,该漏洞允许黑客使用任何其他Apple ID进行登录,带来的直接后果就是用户的第三方账户劫持。

  随后,Bhavuk Jain向苹果上报了这一严重漏洞,获得了10万美元的漏洞赏金。

  在Jain发布的博客中可以看到一些漏洞细节。一般而言,使用苹果服务器生成的JWT(JSON Web Token)身份验证令牌或者代码(可生成JWT)可进行用户验证。

  苹果用户可自行选择是否与第三方应用程序共享Apple电子邮件 ID,如果用户同意共享,并对此进行授权,苹果将创建一个JWT,内含邮件ID,允许第三方应用程序登录账户。

  因此,问题来了。攻击者可以将任何电子邮件ID链接到JWT上,伪造JWT来获取用户的访问权,而这一过程中使用的那个邮件ID无法验证是否是用户的真实账号。

  因此,攻击者从而达到劫持用户第三方账号的目的。 所幸,目前苹果已经修复了该漏洞,且尚未发现由此引发的用户数据泄露。

  Apple ID是苹果设备的安全钥匙,一旦被获取或者被利用则容易导致用户数据泄露或者引发勒索。利用Apple ID进行的诈骗案例也不在少数。比如,利用社会工程学引导用户登录诈骗分子的Apple ID,随后再进行设备锁定,勒索用户缴纳赎金。

  因此,注意Apple ID要谨慎使用,比如尽量不要使用不正规的第三方助手,或者开启二步验证或者双重认证来提高安全性。

  【图片来源于网络,侵删】

最新发布
1
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
2
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
3
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
4
政府机构频遭黑客攻击,国密改造亟需加快推进
5
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
6
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
7
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
8
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
9
警惕!银行系统漏洞频发,国密改造亟需加快推进
10
4·15国家安全教育日 | 网络安全,你我共建
相关推荐
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
红十字会网站超51万人信息被盗,加强网络安全时刻不能放松
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
战火蔓延,俄罗斯惨遭“断网”!国内网站备份国密证书刻不容缓!
4·15国家安全教育日 | 网络安全,你我共建
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
警惕!银行系统漏洞频发,国密改造亟需加快推进
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?