X
广告
首页 > 动态 > 关键词  > 苹果漏洞最新资讯  > 正文

苹果( Sign in with Apple)漏洞未经授权访问链接服务

2020-06-01 14:02 · 稿源: TechWeb.com.cn

"Apple登录(Sign in with Apple)"是苹果公司在去年WWDC推出的一项登录服务,用户不需要再繁琐地填入账号和密码,而只需要点击这个选项,系统便可以自动识别并认证你的个人身份,并通过匿名邮件服务为你注册账号。

具体的是通过JWT(JSON Web令牌)或苹果服务器生成的代码对用户进行身份验证的。苹果提供给用户选择共享与他们的Apple ID绑定的电子邮件或私有中继电子邮件地址的选项,这将创建用于登录用户的JWT。一旦用户请求了用于Apple ID电子邮件和专用中继电子邮件地址的JWT,并且使用苹果的公钥验证了令牌的签名,它就会”显示为有效”。 如果尚未发现该错误,则可以创建一个JWT并将其用于访问一个人的帐户。

苹果商店

近日,研究者Bhavuk Jain发现“Apple登录(Sign in with Apple)”功能的漏洞可以访问链接的第三方服务上的用户帐户.

值得一提的是,这个Bug特定于使用“Apple登录(Sign in with Apple)”功能且未实施其它安全措施的第三方应用。由于Apple审核机制,在社交应用中,开发人员通常会将“Apple登录”集成在一起。比如:Dropbox,Spotify,Airbnb,Giphy(现已被Facebook收购).

由于该安全漏洞将导致用户个人账号隐私数据,恐遭黑客入侵窃取的高度风险,经Bhavuk Jain回报给苹果安全团队后,苹果确认了该漏洞并给予了 10 万美元的奖励;同时也展开调查并响应表示,目前这个已知存在于"Sign In with Apple"的漏洞已获得修补;此外在修补该项漏洞之前,并未发现有任何Apple ID账号曾遭黑客入侵盗用.另外,在此之前,一些使用了Sign in with Apple的应用以及服务,启用双重认证也可以预防这个漏洞。

  • 相关推荐
  • 大家在看
  • 英特尔CEO:不怪苹果抛弃 希望凭借产品更优而赢回苹果公司

    据Axios报道,英特尔公司首席执行官Pat Gelsinger仍希望能赢回苹果公司这个客户,但他表示,英特尔的产品必须胜过这家科技巨头的才能做到这一点。在周日晚间播出的「Axios on HBO」节目中,Pat Gelsinger告诉Axios记者Ina Fried,他不怪苹果公司放弃英特尔并决定打造自己的芯片。

  • 苹果公司支持的游说团体被指控对抗气候立法

    观察家们称,不特定的团体,包括一些由苹果和微软支持的团体,正在反对拜登总统的3.5万亿美元预算法案,以应对气候变化。无党派团体Accountable.US说,民主党的法案是企业游说团体和其他组织的目标。据《卫报》报道,这些团体的特点是包括苹果、亚马逊、微软和迪士尼在内的美国知名公司。"大公司喜欢告诉我们他们是如何致力于解决气候危机和建立一个可持续的未来,"Accountable.US总裁凯尔·赫里格告诉该报,"但在私下里他们正在资

  • 苹果公司正在研究能测量体温的 AirPods 等健康新功能

    据TheVerge报道,苹果公司正在为其AirPods探索以健康为重点的新功能。功能可能包括使用耳塞来测量佩戴者的体温,监测他们的姿势,以及改善他们的听力。报道指出,目前还不清楚后者的功能是否与AirPods现有的「对话提升」功能有很大区别。

  • 因芯片短缺 苹果公司或下调iPhone产量目标

    根据彭博社的一份新报告,科技行业面临的持续芯片短缺正在影响iPhone13机型的生产。苹果公司可能因此下调iPhone今年的产量目标,预计今年iPhone13系列出货量从9000万台下调到8000万台。

  • 苹果公司在卡尔弗城建造大规模电视和电影制作设施

    苹果公司继续扩大Apple TV+项目的生产工作,这家科技巨头开始在洛杉矶附近的卡尔弗城建设两个新设施。新设施建成后总面积将超过55万平方英尺,将位于国家大道、威尼斯大道和华盛顿大道沿线。这两个设施将由一座"共享墙"连接。据一位与《Variety》有过交谈的苹果公司代表称,该地点将用于"混合用途"。该公司没有透露该项目将包括什么样的制作室。苹果公司也没有提供该基地何时投入使用的时间表,只是说该项目仍处于早期阶段。一旦完

  • 法学生状告苹果公司欺诈:买手机凭什么不配充电器?

    从iPhone 12系列开始,苹果不再在包装盒中标配充电器,由此引发了一场官司。10月25日消息,据媒体报道,因苹果果新产品不再赠送适配充电器,来自北京化工大学、东华大学的学生们组队将苹果公司告上法庭,他们请求苹果公司交付手机充电器,并承担违约责任,支付另行购买适配器的费用。据悉,此案已于今年9月一审开庭,法庭上原被告双方进行了举证质证环节,目前此案仍在补充证据和书面材料阶段。原告表示,苹果公司存在严重侵犯消费

  • 苹果公司将要求对未接种疫苗的员工进行严格的COVID-19检测

    据外媒报道,苹果公司正准备对其员工实施更严格的COVID-19预防措施,并将要求未接种疫苗的企业员工在进入办公室前接受每日检测。据彭博社报道,新的每日检测方案定于11月1日开始,也适用于拒绝报告其疫苗接种情况的企业员工。已接种疫苗的办公室工作人员将被要求每周进行一次快速测试。一套稍加修改的规则将适用于苹果公司的零售员工,未接种疫苗的员工每周要接受两次检测。然而,与苹果公司一样,已接种疫苗的零售员工需要每周进?

  • 苹果公司让iCloud Safari书签也实现端到端加密

    苹果公司已经为iCloud中的Safari书签实现了端到端加密,进一步扩大了该公司完全加密的用户数据类型,这可以提供目前最高水平的隐私和数据保护。在Reddit上发现,苹果"iCloud安全概述"页面的更新表明,与Safari标签和历史记录一样,Safari书签现在也是端到端加密的。这意味着任何人,甚至是苹果自身都无法访问用户保存的Safari书签。根据更新的时间,苹果很可能在iOS和iPadOS 15发布前后做了这个改变。苹果没有回应评论请求。随着Sa

  • 苹果公司的iPhone在芯片供应上仍未受到明显影响

    新的研究称,芯片短缺意味着智能手机制造商只能获得70%至80%的组件订单--但苹果的iPhone未受影响。尽管其他研究称,苹果现在开始感受到其所有设备的芯片短缺的影响,但它在iPhone产品上的情况依然表现良好。Counterpoint Research报告称,它将全球智能手机出货量预测下调至估计每年增长6%,最新数字为14.1亿部。最初,该公司预测增长9%,也就是14.5亿部手机。"在2020年COVID-19对市场造成严重冲击后,智能手机行业今年将出现强劲反

  • 苹果公司对未接种疫苗员工采取强制措施:进办公室就得检测

    为了应对疫情的威胁,全球不少科技公司都开始鼓励员工接种疫苗。有些公司还会对员工接种疫苗的行为,进行额外的现金补偿。例如英特尔为接种疫苗的员工提供250美元的奖励。不过苹果公司没有鼓励,但是对未接种的员工,增加了检测的步骤。10月21日消息,苹果公司将开始对未接种新冠肺炎疫苗的公司员工采取强制措施,每次进入办公室时都得接受新冠检测。尽管苹果依旧没有强制员工接种疫苗,但是此举收紧了疫情安全协议。苹果在本周通?

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天