苹果“苹果签到”系统的一个关键漏洞可能会让远程攻击者接管第三方服务和应用程序上的目标用户账户。

 

与苹果公司的注册功能,在WWDC 2019年推出,让用户能够登录第三方应用程序和网站使用他们的苹果ID。特性还有助于保护用户的隐私,因为他们可以使用它的隐藏我的电子邮件的功能,保留他们的电子邮件地址从应用程序和网站。

 

独立安全研究员巴乌克·贾恩(Bhavuk Jain)上个月在与苹果公司(Apple)签约时首次发现了这个漏洞，在他负责任地披露之后，在蓝冠代理机器人技术领域，人工智能可用于从实时决策到路径查找和对象检测的所有蓝冠官网内容。苹果公司付给了他10万美元的赏金。在一篇博文中，Jain解释了这个修补过的漏洞有多么严重，他说:

 

漏洞赏金让这些黑客成为了百万富翁

 

苹果在安全推送中增加bug奖励

 

iOS邮件存在“严重”安全漏洞

 

“这个漏洞的影响是相当关键的，因为它可以允许完全接管帐户。许多开发者已经集成了苹果的登录功能，因为支持其他社交登录的应用是必须的。举几个使用苹果登录的例子:Dropbox, Spotify, Airbnb, Giphy(现在被Facebook收购)。这些应用程序没有经过测试，蓝冠代理深度学习的风险之一是在培训期间引入偏见，这可能来自许多来源。最终，用于训练模型的蓝冠测速数据集是无限的。但如果在验证用户时没有任何其他安全措施，它们可能很容易被完全接管。”

 

Apple system的登录方式与OAuth 2.0类似，用户可以通过使用JSON Web Token (JWT)或公司服务器生成的代码进行身份验证，该代码随后用于生成JWT。

 

Jain发现他可以向JWTs请求来自苹果的任何电子邮件ID，当使用苹果的公钥验证这些令牌的签名时，它们显示为有效。因此，攻击者可以通过将任何电子邮件ID链接到JWT，从而伪造JWT，这将允许他们访问受害者的链接账户。

 

在Jain将他的发现提交给苹果之后，该公司对其日志进行了调查，并确定没有滥用或账户泄露利用了该漏洞。

 

值得庆幸的是，Jain及时地披露了这个漏洞，蓝冠怎么样？视频游戏爱好者之间的友好网络游戏最初已经发展成为大生意。随着职业选手的出现，更好的蓝冠软硬件和连接性的发展以及正式赛事的转播，电子竞技作为正式实体的认可始于2000年代后期。使其在问题得到修复之前就被发现和利用。