当前位置: 首页 > 科技观察

价值10万美金的Apple ID登录漏洞,无需密码完全接管你的账户

时间:2023-03-13 06:47:55 科技观察

价值10万美元的AppleID登录漏洞,无需密码即可完全接管你的账户操作,免去重新注册账户的麻烦。不过近日有消息称,苹果“使用AppleID登录”功能存在高危漏洞,黑客可利用该漏洞攻击用户设备,甚至劫持账户。本来是提高苹果用户账户安全性的功能,现在却因为漏洞被黑客利用了?去年,苹果宣布推出“使用AppleID登录”功能作为隐私保护工具,旨在提高用户安全性。用户可以直接使用他们的苹果账户登录,而无需透露他们的电子邮件、推特、Facebook和其他平台账户。不仅如此,苹果还承诺不会追踪此次登录,只保留登录所需的信息。对于用户来说,这个便利功能非常受欢迎,所以目前很多应用程序和网站都采用了这个功能,比如Spotify、Dropbox、Airbnb等。技术的便利性是一把双刃剑。如果用得好,将造福于人们的生活,但如果用得好,将是不法分子窃取用户信息的利器。漏洞允许使用任何其他AppleID登录4月,全栈开发人员BhavukJain在苹果的“使用AppleID登录”功能中发现了这个严重漏洞,该漏洞允许黑客使用任何其他AppleID登录,后果直接是用户的第三方账号劫持。随后,BhavukJain向Apple报告了这个严重漏洞,并获得了10万美元的漏洞赏金。可以在Jain的博客文章中查看一些漏洞详细信息。一般来说,用户认证可以使用苹果服务器生成的JWT(JSONWebToken)认证token或代码(可以生成JWT)来进行。下图显示了JWT创建和验证的工作原理。Apple用户可以选择是否与第三方应用程序共享Apple电子邮件ID。如果用户同意共享并授权,Apple将创建一个包含电子邮件ID的JWT,以允许第三方应用程序登录该帐户。那么问题来了。攻击者可以将任意邮箱ID绑定到JWT上,伪造JWT获取用户的访问权限,而该过程中使用的邮箱ID无法验证为用户真实账户。因此,攻击者达到了劫持用户第三方账号的目的。幸运的是,苹果已经修复了该漏洞,目前尚未发现任何由此导致的用户数据泄露。AppleID是Apple设备的安全密钥。一旦获得或使用,极易导致用户数据泄露或被勒索。使用AppleID进行欺诈的案例也很多。例如,通过社交工程引导用户登录诈骗者的AppleID,然后锁定设备,勒索用户支付赎金。因此,请注意谨慎使用AppleID。比如尽量不要使用非正式的第三方助手,或者开启两步验证或双因素认证来提高安全性。