據(jù)外媒報(bào)道，研究人員 Bhavuk Jain 在四月份發(fā)現(xiàn)了一個(gè)嚴(yán)重的「使用 Apple 登錄」漏洞，該漏洞可能導(dǎo)致某些用戶帳戶被接管。值得一提的是，這個(gè) Bug 特定于使用“通過(guò)蘋(píng)果登錄”功能且未實(shí)施其它安全措施的第三方應(yīng)用。

Jain 指出「使用 Apple 登錄」是通過(guò) JWT(JSON Web 令牌)或蘋(píng)果服務(wù)器生成的代碼對(duì)用戶進(jìn)行身份驗(yàn)證的。 然后，蘋(píng)果提供給用戶選擇共享與他們的 Apple ID 綁定的電子郵件或私有中繼電子郵件地址的選項(xiàng)，這將創(chuàng)建用于登錄用戶的 JWT。

然后 Jain 發(fā)現(xiàn)，一旦請(qǐng)求了用于 Apple ID 電子郵件和專用中繼電子郵件地址的 JWT，并且使用蘋(píng)果的公鑰驗(yàn)證了令牌的簽名，它就會(huì)「顯示為有效」。 如果尚未發(fā)現(xiàn)該錯(cuò)誤，則可以創(chuàng)建一個(gè) JWT 并將其用于訪問(wèn)一個(gè)人的帳戶。

Jain 在接受 The Hacker News 采訪時(shí)談到了該漏洞的嚴(yán)重性：

此漏洞的影響非常關(guān)鍵，因?yàn)樗赡茉试S完整的帳戶接管。許多開(kāi)發(fā)人員已將「使用 Apple 登錄」集成在一起，因?yàn)閷?duì)于支持其它社交登錄的應(yīng)用是強(qiáng)制性的。 僅舉幾例「使用 Apple 登錄」功能的應(yīng)用-Dropbox，Spotify，Airbnb，Giphy(現(xiàn)已被 Facebook 收購(gòu))。

根據(jù) Jain 的說(shuō)法，蘋(píng)果對(duì)此進(jìn)行了調(diào)查，得出的結(jié)論是，在修補(bǔ)漏洞之前，沒(méi)有任何帳戶使用此方法被破壞。而根據(jù)蘋(píng)果的 Apple Security Bounty Program(安全獎(jiǎng)勵(lì)賞金)計(jì)劃，Jain 因報(bào)告該漏洞而獲得了100000美元的獎(jiǎng)勵(lì)。

關(guān)鍵詞： Apple登錄漏洞