駭客正在使用Apple的新iOS漏洞稱為“與Apple”來獲得用戶的完整帳戶控制。根據銀幕最新報告,iOS用戶可能會發生駭客由於蘋果驗證服務中的新錯誤。
另請閱讀:[黑客]新惡意軟件使用USB竊取數據;用於針對設備的Microsoft漏洞
“使用Apple”功能中的一個新錯誤在由第三方應用程序訪問時可能會導致可能的惡意行為,因為用戶信息不受保護。新錯誤的發現將有助於使iOS操作系統比以前更加安全,儘管它突出了蘋果的安全性如何並不像某些人期望的那樣充滿密密度。
另請閱讀:Facebook禁止200名抗議者團體邀請人們加入;俄羅斯和中國的州媒體將很快被標記
該報告聲稱,對Apple Smart設備的感知表明,與其他Android產品或服務相比,它是一個更安全的選擇。儘管新的錯誤是在受控環境中發現的,但蘋果並不是新的安全方案。
在這種情況下,該問題是在驗證系統中找到的。它表明,用戶的Apple ID可以使網絡攻擊者訪問其登錄信息,這可能導致惡意行為。這可能會使銀行信息,電子郵件和個人詳細信息處於危險之中。
蘋果的新錯誤使用用戶驗證服務獲得帳戶控制
根據黑客新聞“先前的報告,蘋果向印度脆弱性研究員Bhavuk Jain支付了100,000美元的漏洞賞金,此前他報告了一個高度關鍵的脆弱性,影響了iOS“與Apple”系統的“簽名”。
使用“使用Apple簽名”選項註冊的第三方服務和應用程序的用戶帳戶是現在被發現的漏洞的主要目標,使黑客可以遠程繞過身份驗證。
根據銀幕,發現漏洞的發現集中在黑客通過用戶身份驗證訪問的信息上。當用戶單擊將授予授權的應用程序中的“使用Apple登錄”選項時,發送JSON Web令牌(JWT),然後是公司發送的請求以提供用戶的登錄信息。
另請閱讀:黑客警告!在下載Covid-19應用程序之前,這是您應該知道的
偽裝成通信用戶信息的Apple ID可以利用JWT代碼。即使用戶選擇隱藏登錄信息,黑客可以使用基礎代碼部署錯誤以獲取用戶的數據訪問。該報告指出,該問題在被提醒後是由蘋果修補的。
儘管漏洞仍然存在問題,但某些第三方應用程序可能會使用其他安全流程。
