近日蘋果向印度漏洞安全研究專家Bhavuk Jain支付了高達10萬美元的巨額賞金，原因就是他報告了存在于Sign in with Apple中的嚴重高危漏洞。Sign in with Apple(通過Apple登錄)，能讓你利用現(xiàn)有的Apple ID快速、輕松地登錄 App 和網(wǎng)站，目前按該漏洞已經(jīng)修復。

該漏洞允許遠程攻擊者繞過身份驗證，接管目標用戶在第三方服務和應用中使用Sign in with Apple創(chuàng)建的帳號。在接受外媒The Hacker News采訪的時候，Bhavuk Jain表示在向蘋果的身份驗證服務器發(fā)出請求之前，蘋果客戶端驗證用戶方式上存在漏洞。

通過“Sign in with Apple”驗證用戶的時候，服務器會包含秘密信息的JSON Web Token(JWT)，第三方應用會使用JWT來確認登錄用戶的身份。Bhavuk發(fā)現(xiàn)，雖然蘋果公司在發(fā)起請求之前要求用戶先登錄到自己的蘋果賬戶，但在下一步的驗證服務器上，它并沒有驗證是否是同一個人在請求JSON Web Token(JWT)。

因此，該部分機制中缺失的驗證可能允許攻擊者提供一個屬于受害者的單獨的蘋果ID，欺騙蘋果服務器生成JWT有效的有效載荷，以受害者的身份登錄到第三方服務中。Bhavuk表示：“我發(fā)現(xiàn)我可以向蘋果公司的任何Email ID請求JWT，當這些令牌的簽名用蘋果公司的公鑰進行驗證時，顯示為有效。這意味著，攻擊者可以通過鏈接任何Email ID來偽造JWT，并獲得對受害者賬戶的訪問權(quán)限。”

Bhavuk表示即使你選擇隱藏你的電子郵件ID，這個漏洞同樣能夠生效。即使你選擇向第三方服務隱藏你的電子郵件ID，也可以利用該漏洞用受害者的Apple ID注冊一個新賬戶。

Bhavuk補充道：“這個漏洞的影響是相當關(guān)鍵的，因為它可以讓人完全接管賬戶。許多開發(fā)者已經(jīng)將Sign in with Apple整合到應用程序中，目前Dropbox、Spotify、Airbnb、Giphy(現(xiàn)在被Facebook收購)都支持這種登錄方式。”

Bhavuk在上個月負責任地向蘋果安全團隊報告了這個問題，目前該公司已經(jīng)對該漏洞進行了補丁。除了向研究人員支付了bug賞金外，該公司在回應中還確認，它對他們的服務器日志進行了調(diào)查，發(fā)現(xiàn)該漏洞沒有被利用來危害任何賬戶。

關(guān)鍵詞： 蘋果賬號