Apple早在2019年6月就以Apple Option推出了该标志,并以某种积极的关注收到了该功能。有充分的反应有充分的理由;它允许更安全的身份验证系统,而不是社会登录系统。此外,这还使用户能够使用第三方应用程序和服务注册,而无需共享其Apple ID电子邮件。但是,新德里的一名印度安全研究人员最近发现了与Apple系统的标志中的关键缺陷。这个缺陷将使攻击者仅依靠电子邮件ID来接管帐户。
作为回报,苹果已慷慨地奖励了安全研究人员。这家科技巨头从苹果安全赏金锅中支付了100,000美元的售价,这表明这对苹果的令人震惊的发现有多么重要。所有这一切的好处是,苹果已经在其服务器端上处理了该问题,只有在此之后,才能在5月30日在线发布他的披露,而Bhavuk Jain(这是该缺陷的天才)。
潜在的缺陷仅与第三方应用程序有关,这些应用程序依靠Apple登录而没有实施任何其他安全措施。由于两个原因,这是一种潜在的危害。即使用户没有有效的Apple ID,它也可以完全收购第三方应用程序的用户帐户。此外,苹果在开发阶段无法捕捉这个缺陷。
Jain认为他可以为Apple的任何电子邮件ID要求身份验证令牌,然后通过使用Apple的公钥来验证这些标记。这意味着攻击者可以潜在地访问受害者的帐户。Jain还解释说,苹果进行了内部调查,该调查确定没有做出妥协,因此可以在造成任何损坏之前修复缺陷。