大牛证券平台

台江生活网 网站股票配资 资讯列表 资讯内容

“Apple登录”存在缝隙 现在现已上报苹果并修正

2020-06-15| 发布者: 台江生活网| 查看: 144| 评论: 3|来源:互联网

摘要: 原标题:“Apple登录”存在缝隙现在现已上报苹果并修正来历:新浪数码6月1日上午音讯,近来,研究员BhavukJain发...

大牛证券平台原标题:“Apple登录”存在缝隙 现在现已上报苹果并修正 来历:新浪数码

大牛证券平台6月1日上午音讯,近来,研究员Bhavuk Jain发现“Apple登录( Sign in with Apple)”功用的缝隙能够拜访链接的第三方服务上的用户帐户,现在次缝隙现已上报给苹果并得到修正。

外媒《 The Hacker News》介绍,该缝隙依赖于苹果“在从苹果的身份验证服务建议恳求之前,先在客户端验证用户”的方法。 Apple登录身份验证进程由服务器生成一个JSON Web令牌,第三方应用程序运用该JSON Web令牌来承认用户的身分。

大牛证券平台可是该缝隙的存在,能够经过假造令牌并诈骗苹果的身份验证进程。

Bhavuk发现,虽然苹果要求用户在建议恳求之前先登录其Apple帐户,但并未验证同一个人是否鄙人一步从其身份验证服务器恳求JSON Web令牌。

大牛证券平台因而,该机制中短少的验证,给黑客供给了条件,然后拐骗苹果服务器生成有用的JSON Web令牌,以便让人用受害者的身份登录到第三方服务。这样也就直接获得了第三方账号。

“此缝隙的影响十分要害,由于它或许答应帐户彻底走漏。许多开发人员已将Apple登录集成在一起,因而Dropbox,Spotify,Airbnb,Giphy等支撑此服务的第三方均或许受到影响,”Bhavuk写道。

在他报告了该缝隙之后,苹果现已修正了该问题,并依据其缝隙赏金方案向研究人员支付了10万美元。苹果表明,他们查询了服务器日志,没有发现该缝隙曾被利用过。

Sign in with Apple是苹果公司在上一年推出的一项登陆服务,按苹果的主意,用户不需要再繁琐地填入账号和暗码,而只需要点击这个选项,体系便能够自动识别并认证你的个人身份,并经过匿名邮件服务为你注册账号。这种方法的根底是Apple ID跟其他第三方账号相关,从此只需要一个账号。为用户省力,并有保密的功用。当然,一起它也会将用户圈在苹果的生态里。



分享至:
| 收藏
收藏 分享 邀请

最新评论(0)

Archiver|手机版|小黑屋|台江生活网  

GMT+8, 2019-1-6 20:25 , Processed in 0.100947 second(s), 11 queries .

Powered by 台江生活网 X1.0

© 2015-2020 台江生活网 版权所有

微信扫一扫