围观!印度开发人员因发现苹果漏洞赚到100,000美元，您怎么看?

他发现了一个可能导致黑客能够获取Apple用户数据的错误。

Apple奖励给一名27岁的印度安全研究员Bhavuk Jain奖金共100,000美元，原因是他发现了一个漏洞，该漏洞发现了使用Apple帐户身份验证登录中现已修复的漏洞。

该漏洞可能使黑客闯入Apple用户帐户，并登录到Dropbox，Spotify，Airbnb和Giphy（现已被Facebook收购）等第三方应用程序。

拥有电子和通信学士学位的印度安全研究员Bhavuk Jain发现了“用苹果登录”中的零日漏洞，该漏洞影响了正在使用它的第三方应用程序，并且没有实施自己的额外安全措施。

印度安全研究员Bhavuk Jain在周六的一份声明中说：“此漏洞可能导致该第三方应用程序上的用户帐户被全部帐户接管，而不管受害者是否具有有效的Apple ID。”

他宣布：“由于这个漏洞，苹果在其Apple Security Bounty计划下向我奖励了100,000美元。”

印度安全研究员Bhavuk Jain是一名全栈开发人员，主要对使用React Native进行移动应用程序开发感兴趣。他目前是一名全职漏洞赏金猎人，“试图使互联网成为每个人都更安全的地方”。

“与Apple登录”于2019年启动，旨在成为第三方登录更注重隐私的替代方案。

印度安全研究员Bhavuk Jain向苹果透露了这个漏洞，并因此获得了苹果漏洞奖励计划的奖励。从那以后，Apple修复了该错误。

根据Jain所说，“使用Apple登录”与“ OAuth 2.0”类似。

他解释说：“通过使用JWT（JSON Web令牌）或Apple服务器生成的代码，可以使用两种方法来验证用户身份。然后，该代码用于生成JWT。”

第二步，在授权的同时，Apple给用户一个选项，可以选择是否与第三方应用程序共享Apple Email ID。

如果用户决定隐藏电子邮件ID，则Apple会生成自己的特定于用户的Apple中继电子邮件ID。

印度安全研究员Bhavuk Jain说：“根据用户的选择，在成功获得授权后，Apple会创建一个JWT，其中包含此电子邮件ID，然后第三方应用程序将使用该ID登录用户。”

他发现他可以向JWT请求来自Apple的任何电子邮件ID，并且使用Apple的公钥验证了这些令牌的签名后，它们便显示为有效。

印度安全研究员Bhavuk Jain指出：“这意味着攻击者可以通过将任何电子邮件ID链接到JWT并获得对受害者帐户的访问权来伪造JWT。”

此漏洞的影响非常关键，因为它可能允许完全帐户接管。

许多开发人员已将登录与Apple集成在一起，因为对于支持其他社交登录的应用程序来说，登录是必需的。

在修补此错误之前，Apple对他们的日志进行了调查，并确定没有由于此漏洞引起的滥用或帐户损害。

喜欢本文的朋友别忘了转发、点赞、评论和关注哦！