服务热线 400-777-5158

新闻资讯

首页&(一品娱乐)&首页

来源:原创 编辑:dede58.com 时间:2020-06-05 12:52
分享到:

  首页&(一品娱乐)&首页主管QQ-71872511一位名为Bhavuk Jain的印度安全研究员刚收到一张价值卢比的巨额支票。根据错误赏金计划,从Apple获得了75,000,000美元(100,000美元)。他在登录Apple的过程中发现了一个关键漏洞,以下是详细信息。

  印度安全研究员赢得卢比。 75万人为发现缺陷

  根据报告,该漏洞将允许黑客登录到使用Apple的Apple登录功能进行身份验证的用户帐户。现在,这被视为零日漏洞,该公司已经解决了该问题。在解决此问题之前,Apple确实对此案进行了调查,以确定是否存在对该错误的任何滥用,没有发现任何错误。

首页&(一品娱乐)&首页

  零日漏洞是指从发现漏洞到第一次攻击之间有零天的时间间隔。现在看来,这种敏感性并没有被任何人滥用。此错误可能导致重大网络,苹果用户可能因此失去了对Facebook,Spotify,Dropbox,Giphy和Airbnb 等应用和服务的控制。

  用户可以通过使用JWT(JSON Web令牌)或Apple服务器生成的代码(再次用于生成JWT)来使用“通过Apple注册”进行身份验证。在该过程的第二步中,用户可以选择与应用程序开发人员共享或不共享Apple ID。

  如果用户选择了第二个选项,则系统将自动生成另一个用户特定的Apple中继ID。Apple生成的JWT代码包含此电子邮件ID,可用于登录应用程序。不仅如此,Jain还发现,可以通过任何电子邮件ID请求JWT,以及何时使用Apple的公钥验证签名。

  此功能将使攻击者可以通过链接电子邮件ID来伪造JWT,从而无需实际拥有凭据即可访问用户帐户,这可能导致完全帐户被接管。该公司在2019年重新密封了Apple注册功能,以便为第三方应用程序提供更多谨慎的登录选项。许多应用程序选择了此功能,从而为用户提供了便捷的注册过程。

  Bhavuk Jain在一份声明中说:“该漏洞可能导致该第三方应用程序上的用户帐户被完全帐户接管,而不论受害者是否拥有有效的Apple ID,并且Apple根据Apple Security Bounty计划支付了100,000美元。” 贾恩(Jain)是按职业划分的全栈移动应用程序开发人员,也是一位专职的赏金猎人,他致力于使互联网成为每个人都更安全的地方。

  Instagram通过其移动应用程序启用了增强现实购物

  网络监控软件用户希望可靠性和对供应商的尊重

  亚马逊消防电话以某种方式更便宜地进行一日促销

  Facebook刚刚放弃了打击假新闻的斗争