「使用Apple登录」高危漏洞已修复，苹果推送账号验证

近日苹果向印度漏洞安全研究专家Bhavuk Jain支付了高达10万美元的巨额赏金，原因就是他报告了存在于Sign in with Apple中的严重高危漏洞。Sign in with Apple（通过Apple登录），能让你利用现有的Apple ID快速、轻松地登录 App 和网站，目前按该漏洞已经修复。

该漏洞允许远程攻击者绕过身份验证，接管目标用户在第三方服务和应用中使用Sign in with Apple创建的帐号。在接受外媒The Hacker News采访的时候，Bhavuk Jain表示在向苹果的身份验证服务器发出请求之前，苹果客户端验证用户方式上存在漏洞。

通过“Sign in with Apple”验证用户的时候，服务器会包含秘密信息的JSON Web Token（JWT），第三方应用会使用JWT来确认登录用户的身份。Bhavuk发现，虽然苹果公司在发起请求之前要求用户先登录到自己的苹果账户，但在下一步的验证服务器上，它并没有验证是否是同一个人在请求JSON Web Token(JWT)。

Jain 在接受 The Hacker News 采访时谈到了该漏洞的严重性：

此漏洞的影响非常关键，因为它可能允许完整的帐户接管。许多开发人员已将「使用 Apple 登录」集成在一起，因为对于支持其它社交登录的应用是强制性的。 仅举几例「使用 Apple 登录」功能的应用-Dropbox，Spotify，Airbnb，Giphy（现已被 Facebook 收购）。

根据 Jain 的说法，苹果对此进行了调查，得出的结论是，在修补漏洞之前，没有任何帐户使用此方法被破坏。而根据苹果的 Apple Security Bounty Program（安全奖励赏金）计划，Jain 因报告该漏洞而获得了 100,000 美元的奖励。

近期大家的Mac或iPhone会收到苹果的账号验证提示，正是在修复这个之前的高危漏洞。