近日，蘋果最近向印度漏洞研究人員Bhavuk Jain支付了100,000美元賞金，獎勵其發現影響“使用Apple登錄”系統的嚴重漏洞。該漏洞是Bhavuk上個月向蘋果安全團隊報告，目前蘋果現在已修復此漏洞。這個已修補的漏洞，可以使遠程攻擊者繞過身份驗證，接管使用“使用Apple登錄”選項註冊的第三方服務和應用程序上的帳戶。

去年，蘋果公司在WWDC會議啟動了“蘋果ID ”登錄第三方的保護隱私機制，該機制允許用戶使用蘋果ID註冊第三方應用程序帳戶，並且無需透露實際電子郵件地址。

Bhavuk Jain 在向媒體表示，他發現的漏洞存在於Apple在啟動過程中，與蘋果服務器認證過程中。

對於那些不了解實際情況的用戶，在服務器上通過“使用Apple登錄”進行用戶身份驗證時，可以生成JSON Web令牌（JWT），其中就包含第三方應用程序發來確認登錄用戶身份的機密信息。

Bhavuk發現，儘管Apple會要求用戶在發起請求之前，登錄Apple帳戶，但是並沒有驗證是否是同一個人在身份驗證服務器請求JSON Web令牌（JWT）。

所以，該機制中缺少的驗證問題，可能允許攻擊者獲取屬於受害者的單獨Apple ID，從而誘騙Apple服務器生成有效的JWT，最終導致受害者的身份信息被其他人從第三方獲取。

Bhavuk表示：“我發現可以向JWT請求來自Apple的任何電子郵件ID，並且使用Apple公鑰驗證獲取的令牌簽名後，就可以登錄。這意味攻擊者可以通過鏈接獲取任何Email ID 並通過訪問權限偽造JWT，進而訪問受害者帳戶。”

即使在第三方服務中隱藏電子郵件ID，該漏洞仍然有效，並且黑客可以利用該漏洞利用受害者的Apple ID來註冊新帳戶。

Bhavuk還補充說：“此漏洞的影響非常嚴重，因為它可能導致整個帳戶被黑客接管。”

現在許多開發人員已將Sign In與Apple集成在一起，因為這種方式可以幫助其他社交工具減少獲客成本。

開發人員表示，儘管該漏洞存在於Apple代碼端，但是用戶“使用Apple登錄”的服務和應用程序中並不受到影響，而且蘋果公司現在已修復此漏洞。

在發放獎金之後，蘋果公司正在公司的服務器進行調查，從而確定過去因為該漏洞被影響和破壞的帳戶。

需要注意的是，除了這次漏洞，本月早些時候德國達姆施塔特大學的研究人員檢查了MagicPairing 協議中，還發現了iOS、macOS 和它們之間的十個公開漏洞，這些漏洞至今尚未得到解決。