凭借其新服务“使用 Apple 登录”去年 6 月 WWDC 会议期间提出的这一举措,库比蒂诺公司再次打出了个人数据保护牌。与 Facebook 和谷歌的身份验证系统不同,苹果的身份验证系统将隐藏用户的电子邮件地址,从而保护他们的隐私。这是个好主意。
然而,不太好的一点是,Apple 明显忽视了其解决方案的 IT 安全性。无论如何,OpenID 基金会主席 Nat Sakimura 是这么认为的。该机构负责开发广泛应用于网络行业的同名身份验证标准。在写给软件工程副总裁克雷格·费德里吉 (Craig Federighi) 的一封信中,总统指出,苹果公司在很大程度上受到了该标准的启发,创建了自己的身份验证系统……但没有公开表示,最重要的是,没有实施所有规范。结果:与 Apple 的连接已经存在多个安全漏洞。
攻击和错误
因此,在一份在线文档中,该基金会列出了三个实施错误,这些错误将允许攻击者进行代码插入或“跨站请求伪造攻击”攻击。第四个实施错误也会降低对个人数据的保护,这是一种耻辱。作为一个好撒玛利亚人,该基金会还利用这份文档列出了苹果协议中发现的大约十个错误。
Nat Sakimura认为,这种情况并不令人满意。“OpenID Connect 和 Sign in with Apple 之间当前的差异减少了用户使用 Sign in with Apple 的情况,并使他们面临更大的安全和隐私风险。它还给 OpenID Connect 和 Sign in with Apple 的开发人员带来了不必要的工作”,他写道。在信的最后,他敦促苹果不仅要纠正这些实施错误,还要正式加入 OpenID 基金会。但这很可能是一厢情愿的想法。过去,苹果一直对团队游戏不太感兴趣。
来源:纳特·萨基穆拉的来信(来自 ZDnet)
