早在2019年6月,苹果公司就推出了“苹果登录”选项,该功能受到了一定程度的积极关注。这种积极的回应是有原因的;与社交登录相比,它允许更安全的身份验证系统。此外,这还允许用户注册第三方应用程序和服务,而无需分享他们的Apple ID电子邮件。然而,新德里的一名印度安全研究人员最近在苹果登录系统中发现了一个严重的漏洞。这一漏洞将使攻击者仅依靠电子邮件ID就能接管账户。
作为回报,苹果慷慨地奖励了这位安全研究人员。这家科技巨头从苹果公司的安全赏金中支付了10万美元给这名黑客,这表明这一令人震惊的发现对苹果公司有多么重要。这一切带来的好消息是,苹果已经在服务器端解决了这个问题,直到5月30日,发现漏洞的天才Bhavuk Jain才在网上发布了他的披露。
这个潜在的漏洞只与依赖于“登录苹果”的第三方应用程序有关,没有实施任何其他安全措施。这是一种潜在的危险,原因有二。它可以完全接管第三方应用程序的用户帐户,即使用户没有有效的苹果ID。此外,苹果在开发阶段未能发现这一缺陷。
Jain发现,他可以向苹果申请任何电子邮件ID的身份验证令牌,然后这些令牌将通过使用苹果的公钥进行验证。这意味着攻击者有可能获得受害者帐户的访问权限。贾恩还解释说,苹果公司进行了一项内部调查,调查结果显示,苹果公司没有做出任何妥协,因此没有在漏洞造成任何损害之前修复它。