苹果为ID验证漏洞，支付十万美元赏金

图片地址：https://img.ithome.com/newsuploadfiles/2020/5/20200531224746_5874.jpg

近日，苹果最近向印度漏洞研究人员Bhavuk Jain支付了100,000美元赏金，奖励其发现影响“ 使用Apple登录 ”系统的严重漏洞。该漏洞是Bhavuk上个月向苹果安全团队报告，目前苹果现在已修复此漏洞。这个已修补的漏洞，可以使远程攻击者绕过身份验证，接管使用“使用Apple登录”选项注册的第三方服务和应用程序上的帐户。去年，苹果公司在WWDC会议启动了“ 苹果ID ”登录第三方的保护隐私机制，该机制允许用户使用苹果ID注册第三方应用程序帐户，并且无需透露实际电子邮件地址。Bhavuk Jain 在向媒体表示，他发现的漏洞存在于Apple在启动过程中，与苹果服务器认证过程中。对于那些不了解实际情况的用户，在服务器上通过“使用Apple登录”进行用户身份验证时，可以生成JSON Web令牌（JWT），其中就包含第三方应用程序发来确认登录用户身份的机密信息。Bhavuk发现，尽管Apple会要求