苹果用户在使用APP或者登录网站账号时，不可避免地会遇到“使用Apple ID登录”的弹框提示，这种操作可以免去重新注册账号的麻烦。

但是，近日曝出苹果这一“使用Apple ID登录”功能存在高危漏洞，黑客可以利用该漏洞攻击用户设备，甚至进行账号劫持。

原本是为了提高苹果用户账号安全的一项功能，如今却因存在漏洞反被黑客利用？

去年，苹果宣布引入“使用Apple ID登录”功能，作为一种隐私保护工具，旨在提高用户安全性，用户可以直接使用苹果账号登录，而无需透露自己的电子邮件、Twitter、Facebook等其他平台账号。不仅如此，苹果还承诺不会跟踪这一登录情况，仅保留登录所需信息。

对于用户来说，这一便利性功能广受欢迎，所以目前很多应用程序和网站都会采用这一功能，比如Spotify，Dropbox，Airbnb等。

技术是一把双刃剑，使用得好则便捷人们的生活，但是如果不法分子使用得好，则是窃取用户信息的利器。

漏洞允许使用任何其他Apple ID登录

4月，全栈研发人员Bhavuk Jain发现了苹果“使用Apple ID登录”功能的这一严重漏洞，该漏洞允许黑客使用任何其他Apple ID进行登录，带来的直接后果就是用户的第三方账户劫持。

随后，Bhavuk Jain向苹果上报了这一严重漏洞，获得了10万美元的漏洞赏金。

在Jain发布的博客中可以看到一些漏洞细节。一般而言，使用苹果服务器生成的JWT（JSON Web Token）身份验证令牌或者代码（可生成JWT）可进行用户验证。

下图显示了JWT创建和验证的工作方式。

苹果用户可自行选择是否与第三方应用程序共享Apple电子邮件 ID，如果用户同意共享，并对此进行授权，苹果将创建一个JWT，内含邮件ID，允许第三方应用程序登录账户。

因此，问题来了。攻击者可以将任何电子邮件ID链接到JWT上，伪造JWT来获取用户的访问权，而这一过程中使用的那个邮件ID无法验证是否是用户的真实账号。

因此，攻击者从而达到劫持用户第三方账号的目的。 所幸，目前苹果已经修复了该漏洞，且尚未发现由此引发的用户数据泄露。

Apple ID是苹果设备的安全钥匙，一旦被获取或者被利用则容易导致用户数据泄露或者引发勒索。利用Apple ID进行的诈骗案例也不在少数。比如，利用社会工程学引导用户登录诈骗分子的Apple ID，随后再进行设备锁定，勒索用户缴纳赎金。

因此，注意Apple ID要谨慎使用，比如尽量不要使用不正规的第三方助手，或者开启二步验证或者双重认证来提高安全性。

参考链接：

“使用Apple登录”漏洞使研究人员获得10万美元

“使用Apple ID登录”的0day漏洞

*本文作者：Sandra1432，转载请注明来自FreeBuf.COM