據(jù)外媒報(bào)道，蘋果最近向印度漏洞研究人員Bhavuk Jain支付了10萬(wàn)美元的巨額賞金，以獎(jiǎng)勵(lì)其發(fā)現(xiàn)的iOS系統(tǒng)中“使用Apple登錄”(Sign in with Apple)的嚴(yán)重漏洞。

蘋果方面現(xiàn)在已修補(bǔ)漏洞，該漏洞可使遠(yuǎn)程攻擊者繞過身份驗(yàn)證，并接管使用“使用Apple登錄”選項(xiàng)注冊(cè)的第三方服務(wù)和應(yīng)用程序上目標(biāo)用戶的帳戶。

去年在蘋果公司的WWDC會(huì)議上啟動(dòng)的“使用Apple登錄”功能，作為保護(hù)隱私登錄機(jī)制被引入iOS系統(tǒng)，該機(jī)制允許用戶使用第三方應(yīng)用程序注冊(cè)帳戶，而無(wú)需透露其實(shí)際電子郵件地址(也用作蘋果ID)。

Bhavuk Jain在接受采訪時(shí)透露，他發(fā)現(xiàn)的漏洞存在于Apple啟動(dòng)來自蘋果認(rèn)證服務(wù)器的請(qǐng)求之前，在客戶端上驗(yàn)證用戶的過程中。

對(duì)于那些不知道的用戶，服務(wù)器在通過“使用Apple登錄”對(duì)用戶進(jìn)行身份驗(yàn)證時(shí)，會(huì)生成JSON Web令牌(JWT)，其中包含第三方應(yīng)用程序用來確認(rèn)登錄用戶身份的機(jī)密信息。

Bhavuk發(fā)現(xiàn)，盡管Apple要求用戶在發(fā)起請(qǐng)求之前先登錄其Apple帳戶，但并未驗(yàn)證是否是同一個(gè)人，在下一步從身份驗(yàn)證服務(wù)器請(qǐng)求JSON Web令牌(JWT)。

因此，該機(jī)制缺少的驗(yàn)證可能允許攻擊者提供屬于受害者單獨(dú)的Apple ID，從而誘騙Apple服務(wù)器生成有效的JWT有效負(fù)載，該有效負(fù)載可以使用受害者的身份登錄到第三方服務(wù)。

“我發(fā)現(xiàn)我可以向JWT請(qǐng)求來自Apple的任何電子郵件ID，當(dāng)使用Apple的公鑰驗(yàn)證了這些令牌的簽名后，它們就顯示為有效。這意味著攻擊者可以通過鏈接任何Email ID并獲得訪問權(quán)限來偽造JWT，從而獲得受害者的帳戶。”

研究人員證實(shí)，即使用戶選擇從第三方服務(wù)中隱藏電子郵件ID，該漏洞仍然有效，并且該漏洞還可以利用受害者的Apple ID來注冊(cè)新帳戶。

“此漏洞的影響非常嚴(yán)重，因?yàn)樗赡軙?huì)導(dǎo)致整個(gè)帳戶被接管。許多開發(fā)人員已將“使用Apple登錄”集成在一起，因?yàn)閷?duì)于支持其他社交登錄的應(yīng)用程序來說，它是強(qiáng)制性的。舉幾個(gè)使用“使用Apple登錄”的用戶為例- Dropbox，Spotify，Airbnb，Giphy(現(xiàn)已被Facebook收購(gòu))。” Bhavuk補(bǔ)充說。

盡管該漏洞存在于Apple端代碼，但研究人員表示，某些向其用戶提供“使用Apple登錄”的服務(wù)和應(yīng)用程序可能已經(jīng)在使用二次身份驗(yàn)證功能，從而可以緩解用戶登錄中的漏洞問題。

Bhavuk上個(gè)月向蘋果安全團(tuán)隊(duì)報(bào)告了此問題，該公司現(xiàn)在已修復(fù)此漏洞。作為回應(yīng)，除了向研究人員支付賞金之外，蘋果公司還確認(rèn)已對(duì)他們的服務(wù)器日志進(jìn)行了調(diào)查，發(fā)現(xiàn)該漏洞并未被利用來破壞任何帳戶。