有消息称黑客可能操纵了苹果生物特征安全漏洞以访问iCloud帐户

发布时间：2020-08-06 作者：未知

　　腾佑AI人工智能持续为大家分享基于生物识别的人脸识别国际快讯：黑客可能操纵了苹果生物特征安全漏洞以访问iCloud帐户

　　苹果公司在2月通过生物识别功能Touch ID或Face ID识别出的一个安全漏洞可能导致未经授权访问iCloud帐户（如果该模块被用于登录Safari上的帐户），The Hacker News。此漏洞已得到修复。

　　它是如何运作的？当尝试使用Apple ID登录Safari上的网站时，用户通过Touch ID进行身份验证以绕过结合多种因素的两因素身份验证。这与传统的登录到Apple域的ID和密码不同，传统的ID和密码登录到Apple域是通过嵌入在网站上并链接到Apple登录验证服务器的iframe进行身份验证的。

　　如果使用了Touch ID，则iframe流程将更改为在登录流程中支持生物特征认证和令牌检索。该出版物解释说：“为此，守护程序与“gsa.apple.com”上的API通信，向该API发送请求的详细信息并从中接收令牌。该漏洞位于启用域滥用的API中。跨脚本漏洞可以在任何子域上利用。身份验证守护程序称为“akd”。

　　发现故障的安全专家Thijs Alkemade说：“即使akd提交给它的数据中包含client_id和redirect_uri，它也不会检查重定向URI是否与客户端ID匹配。”“相反，AKAppSSOExtension仅在域上应用了白名单。允许所有以apple.com，icloud.com和icloud.com.cn结尾的域名。”

　　另一种可能的攻击方法是，在首次连接到Wi-Fi源时将JavaScript嵌入网站。

　　“恶意的Wi-Fi网络可能会响应一个包含JavaScript的页面，该页面会将OAuth初始化为iCloud，”Alkemade在推文中写道。“用户会收到一个TouchID提示，但目前尚不清楚其含义。如果用户在该提示下进行身份验证，则其会话令牌将被发送到恶意站点，从而使攻击者可以在iCloud上为其帐户提供会话。”

　　“通过在用户希望接收强制门户的位置（例如，在机场，酒店或火车站）设置一个伪造的热点，就有可能获得访问大量iCloud帐户的权限，允许访问图片的备份，手机的位置，文件等，”他补充说。

　　OnePlus 7 Pro Android智能手机的指纹生物识别数据存储系统中的一个漏洞已于4月报告并修复。

　　更多人脸识别国际快讯，腾佑AI人工智能持续分享中！

　　推荐阅读：人脸识别国际快讯(六十二)

标签：人脸识别生物识别人工智能

上一篇：人脸识别国际快讯(六十二)

下一篇：人脸识别技术与应用沙龙暨“航天天宫平台发布会”于8月8日开启

有消息称黑客可能操纵了苹果生物特征安全漏洞以访问iCloud帐户

热门资讯