Apple在線商店安全漏洞暴露了T-Mobile客戶的PIN-愛新聞

Apple在線商店安全漏洞暴露了T-Mobile客戶的PIN

BuzzFeed News報導,蘋果在線商店的安全漏洞暴露了超過7200萬T-Mobile客戶的賬戶密碼。 

安全研究人員Phobia和Nicholas“Convict”Ceraolo發現了這個漏洞,他也在電話保險公司Asurion的網站上發現了類似的漏洞,暴露了AT&T賬號。 

在從BuzzFeed News了解到PIN後,Apple和Asurion都修復了導致PIN易受攻擊的網站漏洞。蘋果選擇不對此情況提供進一步評論,但告訴BuzzFeed News,它“非常感謝發現這一缺陷的研究人員。” 

Apple網站上的頁面通過BuzzFeed News讓黑客暴力破解PIN

PIN或密碼是美國許多運營商用作額外帳戶安全措施的號碼。移動設備PIN通常是蜂窩帳戶的最後一道防線,因為運營商網站和支持人員在進行帳戶更改之前會要求PIN進行確認。 

SIM黑客攻擊使用社交工程技術讓運營商支持人員將一個人的電話號碼轉移到一個新的SIM卡,由於與一個人有關的賬戶(銀行,電子郵件,社交媒體等)的數量越來越普遍電話號碼。PIN被用作防止SIM黑客攻擊的防禦機制,這意味著暴露的PIN可能特別危險。 

在Apple的網站上訪問T-Mobile PIN涉及蠻力攻擊,黑客使用軟件輸入多個不同的數字組合來猜測正確的。 

正如BuzzFeed新聞所解釋的那樣,在Apple在線商店購買T-Mobile iPhone並通過T-Mobile選擇每月付款選項後,Apple的網站會引導用戶使用身份驗證表格,要求提供T-Mobile號碼和帳號密碼或最後四位數字社會安全號碼(大多數運營商在沒有設置PIN時使用它代替PIN)。 

該頁面允許無限次進入PIN字段,啟用暴力攻擊,讓黑客猜測與T-Mobile電話號碼相關的PIN。 

安全漏洞似乎僅限於T-Mobile帳戶,因為Apple網站上其他運營商的相同驗證頁面使用速率限制,在5到10個錯誤條目之後鎖定對錶單的訪問權限60分鐘。鑑於其他運營商頁面啟用了速率限制,很可能Apple在T-Mobile頁面上出錯了。

根據Ceraolo的說法,該漏洞可能是由於在將T-Mobile的帳戶驗證API連接到Apple的網站時出現了工程錯誤。

Asurion網站上的類似漏洞暴露了未指定數量的AT&T帳戶PIN。AT&T發言人表示正在與Asurion合作調查此問題,並將“採取任何可能適當的額外行動”。 

這兩種攻擊都需要一個電話號碼,限制了可能受影響的人數,但擔心其帳戶安全的AT&T和T-Mobile客戶應選擇新的PIN。

發佈留言