苹果（ Sign in with Apple）漏洞未经授权访问链接服务

苹果（ Sign in with Apple）漏洞未经授权访问链接服务

• 来源:网络
• 更新日期:2020-06-01

摘要："Apple登录(Sign in with Apple)"是苹果公司在去年WWDC推出的一项登录服务，用户不需要再繁琐地填入账号和密码，而只需要点击这个选项，系统便可以自动识别并认证你的个人身份，并

"Apple登录(Sign in with Apple)"是苹果公司在去年WWDC推出的一项登录服务，用户不需要再繁琐地填入账号和密码，而只需要点击这个选项，系统便可以自动识别并认证你的个人身份，并通过匿名邮件服务为你注册账号。

具体的是通过JWT(JSON Web令牌)或苹果服务器生成的代码对用户进行身份验证的。苹果提供给用户选择共享与他们的Apple ID绑定的电子邮件或私有中继电子邮件地址的选项，这将创建用于登录用户的JWT。一旦用户请求了用于Apple ID电子邮件和专用中继电子邮件地址的JWT，并且使用苹果的公钥验证了令牌的签名，它就会”显示为有效”。 如果尚未发现该错误，则可以创建一个JWT并将其用于访问一个人的帐户。

近日，研究者Bhavuk Jain发现“Apple登录(Sign in with Apple)”功能的漏洞可以访问链接的第三方服务上的用户帐户.

值得一提的是，这个Bug特定于使用“Apple登录(Sign in with Apple)”功能且未实施其它安全措施的第三方应用。由于Apple审核机制，在社交应用中，开发人员通常会将“Apple登录”集成在一起。比如：Dropbox，Spotify，Airbnb，Giphy(现已被Facebook收购).

由于该安全漏洞将导致用户个人账号隐私数据，恐遭黑客入侵窃取的高度风险，经Bhavuk Jain回报给苹果安全团队后，苹果确认了该漏洞并给予了 10 万美元的奖励;同时也展开调查并响应表示，目前这个已知存在于"Sign In with Apple"的漏洞已获得修补;此外在修补该项漏洞之前，并未发现有任何Apple ID账号曾遭黑客入侵盗用.另外，在此之前，一些使用了Sign in with Apple的应用以及服务，启用双重认证也可以预防这个漏洞。