黑客发现苹果安全漏洞;苹果支付10万美元赏金

印度的一个赏金猎人发现了一个苹果安漏洞，当您在网站或应用程序中注册帐户时，不公开个人信息应该可以提高“使用Apple登录”的安全性和隐私性。实际上，它可能会向知道您的电子邮件地址的任何人开放您的在线帐户，并且其技术足以将简单的请求发布到Apple ID服务器。

至少在印度的一个漏洞赏金猎人发现该漏洞并将其报告给苹果公司并获得10万美元的漏洞赏金之前。

本质上，任何人都可以为任何电子邮件ID请求令牌。然后，Apple的服务器将验证该令牌，以便攻击者可以访问您已链接到该帐户的任何帐户。

“我发现我可以向JWT请求来自Apple的任何电子邮件ID，当使用Apple的公钥验证了这些令牌的签名时，它们就显示为有效，” Bhavuk Jain在他的博客中发布。“这意味着攻击者可以通过将任何电子邮件ID链接到JWT并获得对受害者帐户的访问权来伪造JWT。”

贾恩（Jain）是一位受人尊敬的漏洞猎人，他发现了Facebook，Google，Pinterest和Yahoo等服务中的安全漏洞。他在四月份发现了该错误，但苹果此后对其进行了修复。根据Jain的说法，Apple“对他们的日志进行了调查，并确定没有由于此漏洞引起的滥用或帐户损害。”

但是，任何仅依赖于“与Apple登录”并且不执行其他安全措施的站点或服务都将受到攻击。

Jain说：“此漏洞的影响非常关键，因为它可能允许完全收购帐户。”“许多开发人员已将Sign In与Apple集成在一起，因为对于支持其他社交登录的应用程序是强制性的。”

Dropbox，Airbnb和Spotify只是使用该服务的少数组织。

苹果在其开发者网站上说：“使用Apple登录可以使用户轻松使用其Apple ID登录您的应用和网站。”“所有帐户均受到两因素身份验证的保护，以提供更高的安全性。”