行业组织称苹果ID登陆第三方有漏洞,必须加以修复

金融理财 阅读(1394)

7月2日

据国外媒体报道,一家行业组织称,苹果最新的登录功能“苹果登录”(Sign with Apple)允许用户使用苹果标识登录网站和应用。此功能具有严重的隐私和安全漏洞,必须修复。

OpenID基金会是一个非营利组织,其成员包括谷歌、贝宝和微软。该组织运行一个行业标准的OpenID连接,可以跨网站验证个人身份。与苹果的登录功能相似,该组织可以使用相同的密码进行身份验证。

据该组织称,与苹果登录与OpenID Connect有些相似之处,但不完全符合行业标准。在给苹果公司负责工程的高级副总裁克雷格费德里格(Craig Fede Craig Federighi)的一封信中,OpenID基金会表示,这个问题可能会让人们面临“更大的安全和隐私风险”。

OpenID基金会主席纳特萨克穆拉(Nat Sakimura)在信中表示:“目前,OpenID Connect和登录苹果之间的一系列差异缩小了用户使用登录苹果的范围,使他们面临更大的安全和隐私风险。

Sakimura表示,苹果尚未推出的单点登录功能也给开发者带来了“不必要的负担”。他们必须使用OpenID Connect标准,并了解苹果登录能力的差异。

OpenID基金会要求苹果公司加入该组织并遵守行业标准。一份描述行业标准和苹果产品之间差异的文件详细描述了一系列必要的代码更改,以“解决这些差异”。“

网络安全公司Mimecast的威胁情报总监弗朗西斯加夫尼(Francis Gaffney)表示,OpenID显示了人们对潜在安全风险的真正担忧。

gaffney说:“随着黑客加强对潜在漏洞的搜索,这些‘差异’被发现和利用只是时间问题。“

苹果没有立即回复置评请求。该公司正在大力推广登录苹果,以此作为关注隐私的用户登录他们最喜欢的网站的一种方式。苹果表示不会与应用程序开发人员共享不必要的数据。

登录苹果还没有公开发布,但是任何苹果用户都会在他们最感兴趣的应用程序中看到这个功能选项。因为苹果要求提供其他单点登录功能的应用程序开发人员也支持苹果的登录。

[来源:网易技术]