发布时间:2020-08-06 14:11 作者:未知
腾佑AI人工智能持续为大家分享基于生物识别的人脸识别国际快讯:黑客可能操纵了苹果生物特征安全漏洞以访问iCloud帐户
苹果公司在2月通过生物识别功能Touch ID或Face ID识别出的一个安全漏洞可能导致未经授权访问iCloud帐户(如果该模块被用于登录Safari上的帐户),The Hacker News。此漏洞已得到修复。
它是如何运作的?当尝试使用Apple ID登录Safari上的网站时,用户通过Touch ID进行身份验证以绕过结合多种因素的两因素身份验证。这与传统的登录到Apple域的ID和密码不同,传统的ID和密码登录到Apple域是通过嵌入在网站上并链接到Apple登录验证服务器的iframe进行身份验证的。
如果使用了Touch ID,则iframe流程将更改为在登录流程中支持生物特征认证和令牌检索。该出版物解释说:“为此,守护程序与“gsa.apple.com”上的API通信,向该API发送请求的详细信息并从中接收令牌。该漏洞位于启用域滥用的API中。跨脚本漏洞可以在任何子域上利用。身份验证守护程序称为“akd”。
发现故障的安全专家Thijs Alkemade说:“即使akd提交给它的数据中包含client_id和redirect_uri,它也不会检查重定向URI是否与客户端ID匹配。”“相反,AKAppSSOExtension仅在域上应用了白名单。允许所有以apple.com,icloud.com和icloud.com.cn结尾的域名。”
另一种可能的攻击方法是,在首次连接到Wi-Fi源时将JavaScript嵌入网站。
“恶意的Wi-Fi网络可能会响应一个包含JavaScript的页面,该页面会将OAuth初始化为iCloud,”Alkemade在推文中写道。“用户会收到一个TouchID提示,但目前尚不清楚其含义。如果用户在该提示下进行身份验证,则其会话令牌将被发送到恶意站点,从而使攻击者可以在iCloud上为其帐户提供会话。”
“通过在用户希望接收强制门户的位置(例如,在机场,酒店或火车站)设置一个伪造的热点,就有可能获得访问大量iCloud帐户的权限,允许访问图片的备份,手机的位置,文件等,”他补充说。
OnePlus 7 Pro Android智能手机的指纹生物识别数据存储系统中的一个漏洞已于4月报告并修复。
更多人脸识别国际快讯,腾佑AI人工智能持续分享中!