Follow us 登录 注册
0 (855) 233-5385 周一~周五, 8:00 - 20:00
cn@yunshipei.com 随时欢迎您的来信!
天使大厦, 海淀区海淀大街27

「Sign in with Apple」爆漏洞!苹果证实已修复 研究人员获300万奖金-世界高峰排名

「Sign in with Apple」爆漏洞!苹果证实已修复 研究人员获300万奖金

值得一提的是,此漏洞并不是让有心人士存取用户的Apple ID帐号,而是用户以「Sign in with Apple」注册的第三方服务。

▲苹果于去年6月的开发者大会(WWDC)上推出了「Sign in with Apple」功能。(图/达志影像/美联社)

记者王晓敏/综合报导苹果「Sign in with Apple」功能号称能较其他登入方式更能保障使用者的资讯安全。不过研究人员近日披露,Sign in with Apple中暗藏一个零日漏洞(Zero-day),让有心人士得以轻松绕过身分验证机制,直接取得用户以Apple ID注册网站的帐号权限。目前苹果已修复该漏洞,并向研究人员支付10万美元奖金。

Bhavuk Jain指出,Sign in with Apple是透过JSON Web Token(JWT)或苹果伺服器生成的程式码对用户进行身分验证,接着,苹果将让用户自行选择要共享Apple ID资讯或另建一个中继ID,而这个中继ID即是攻击者得以存取用户帐号权限的破口。

苹果于去年6月的开发者大会(WWDC)上推出了「Sign in with Apple」功能,让用户无须再使用社群媒体帐号或填写表格来注册新帐号,只要网站支援Sign in With Apple,用户接可使用Face ID、Touch ID或设备密码快速且安全地登入。不过印度安全研究人员Bhavuk Jain上周披露了「Sign in with Apple」内的一个零日漏洞,称其可允许有心人士「只要拥有用户的电子邮件信箱即可接管其所有网站或App上的帐号。」

「Sign in with Apple」爆漏洞!苹果证实已修复 研究人员获300万奖金

在Bhavuk Jain回报给苹果后,苹果已修了该漏洞,并根据其漏洞赏金计画,向Bhavuk Jain支付了10万美元(约新台币301万元)奖金。据苹果说法,根据该公司的调查,没有证据显示已有骇客透过该漏洞进行攻击。

▲▼Sign in with Apple。(图/达志影像/美联社)

Comments (2)

  • Brad Bukovsky

    原标题「Sign in with Apple」爆漏洞!苹果证实已修复 研究人员获300万奖金:中远海能(01138)建议吸收合并上海油运

    回复
    • Brad Bukovsky

      ▲记者采访期间受伤。「Sign in with Apple」爆漏洞!苹果证实已修复 研究人员获300万奖金(图/翻摄自推特/Adolfo Guzman-Lopez)

      回复
  • Brad Bukovsky

Leave Comment

Contact Us

Feel free to call us on
0 (855) 233-5385
Monday - Friday, 8am - 7pm

Our Email

Drop us a line anytime at
info@financed.com,
and we’ll get back soon.

Our Address

Come visit us at
Stock Building, New York,
NY 93459

历史故事|历史故事|灭绝动物|越战女兵|安禄山与杨贵妃|四大凶兽|阴阳眼|孟姜女哭长城的故事|诸葛亮之墓|彩神8-永久网址0748.cc|极速快三-永久网址0748.cc|北京pk10-永久网址0748.cc|一分快三-复制打开0748.cc|澳门百家乐-永久网址0748.cc|快三助手-永久网址0748.cc|分分快三-复制打开0748.cc|大发pk10-永久网址0748.cc|快三彩票-复制打开0748.cc|幸运快三-复制打开0748.cc