蘋果用戶在使用APP或者登錄網(wǎng)站賬號時(shí)，不可避免地會(huì)遇到“使用Apple ID登錄”的彈框提示，這種操作可以免去重新注冊賬號的麻煩。

[[328582]]

但是，近日曝出蘋果這一“使用Apple ID登錄”功能存在高危漏洞，黑客可以利用該漏洞攻擊用戶設(shè)備，甚至進(jìn)行賬號劫持。

原本是為了提高蘋果用戶賬號安全的一項(xiàng)功能，如今卻因存在漏洞反被黑客利用?

去年，蘋果宣布引入“使用Apple ID登錄”功能，作為一種隱私保護(hù)工具，旨在提高用戶安全性，用戶可以直接使用蘋果賬號登錄，而無需透露自己的電子郵件、Twitter、Facebook等其他平臺賬號。不僅如此，蘋果還承諾不會(huì)跟蹤這一登錄情況，僅保留登錄所需信息。

對于用戶來說，這一便利性功能廣受歡迎，所以目前很多應(yīng)用程序和網(wǎng)站都會(huì)采用這一功能，比如Spotify，Dropbox，Airbnb等。

技術(shù)便捷是一把雙刃劍，使用得好則利于人們的生活，但是如果不法分子使用得好，則是竊取用戶信息的利器。

漏洞允許使用任何其他Apple ID登錄

4月，全棧研發(fā)人員Bhavuk Jain發(fā)現(xiàn)了蘋果“使用Apple ID登錄”功能的這一嚴(yán)重漏洞，該漏洞允許黑客使用任何其他Apple ID進(jìn)行登錄，帶來的直接后果就是用戶的第三方賬戶劫持。

隨后，Bhavuk Jain向蘋果上報(bào)了這一嚴(yán)重漏洞，獲得了10萬美元的漏洞賞金。

在Jain發(fā)布的博客中可以看到一些漏洞細(xì)節(jié)。一般而言，使用蘋果服務(wù)器生成的JWT(JSON Web Token)身份驗(yàn)證令牌或者代碼(可生成JWT)可進(jìn)行用戶驗(yàn)證。

蘋果用戶可自行選擇是否與第三方應(yīng)用程序共享Apple電子郵件 ID，如果用戶同意共享，并對此進(jìn)行授權(quán)，蘋果將創(chuàng)建一個(gè)JWT，內(nèi)含郵件ID，允許第三方應(yīng)用程序登錄賬戶。

因此，問題來了。攻擊者可以將任何電子郵件ID鏈接到JWT上，偽造JWT來獲取用戶的訪問權(quán)，而這一過程中使用的那個(gè)郵件ID無法驗(yàn)證是否是用戶的真實(shí)賬號。

因此，攻擊者從而達(dá)到劫持用戶第三方賬號的目的。 所幸，目前蘋果已經(jīng)修復(fù)了該漏洞，且尚未發(fā)現(xiàn)由此引發(fā)的用戶數(shù)據(jù)泄露。

Apple ID是蘋果設(shè)備的安全鑰匙，一旦被獲取或者被利用則容易導(dǎo)致用戶數(shù)據(jù)泄露或者引發(fā)勒索。利用Apple ID進(jìn)行的詐騙案例也不在少數(shù)。比如，利用社會(huì)工程學(xué)引導(dǎo)用戶登錄詐騙分子的Apple ID，隨后再進(jìn)行設(shè)備鎖定，勒索用戶繳納贖金。

因此，注意Apple ID要謹(jǐn)慎使用，比如盡量不要使用不正規(guī)的第三方助手，或者開啟二步驗(yàn)證或者雙重認(rèn)證來提高安全性。