據報道，蘋果最近向印度的一位漏洞安全研究人員 Bhavuk Jain 支付了 10 萬美元的鉅額獎勵，因爲他向蘋果報告了一個將影響 “通過 Apple 登錄”（Sign in with Apple）功能的高危漏洞。

據瞭解，目前已經修復的這一漏洞可能會讓遠程攻擊者繞過身份驗證，接管目標用戶在第三方服務和應用程序中使用 “通過 Apple 登錄” 功能登錄的賬戶。

在去年的 WWDC 大會上，蘋果推出了該隱私保護登錄機制，允許用戶在不披露實際電子郵件地址（Apple ID）的情況下在第三方應用中註冊新賬戶。

而據 Bhavuk Jain 透露，他發現的漏洞存在於向蘋果的身份驗證服務器發出請求之前的客戶端驗證用戶方式上。在使用該功能進行身份驗證時，服務器會生成 JSON Web Token（JWT），其中包含了第三方應用程序用來確認登錄用戶身份的祕密信息，而 Bhavuk 發現，儘管蘋果要求用戶在發起請求之前登錄自己的 Apple 賬戶，但它並未驗證下一步是否是同一個人在請求 JWT。因此，該機制的這一缺陷可能會允許攻擊者通過提供屬於受害者的單獨 Apple ID 來欺騙蘋果服務器生成有效的 JWT 負載，從而使用受害者的身份登錄到第三方服務。此外，即使用戶選擇向第三方服務隱藏自己的電子郵件 ID，該漏洞同樣有效。

Bhavuk 表示，這個漏洞可能會造成相當嚴重的影響，因爲它允許對賬戶的完全接管，而許多第三方軟件都已經將 “通過 Apple 登錄” 整合到應用程序中，如 Dropbox、Spotify、Airbnb 等。他在上個月向蘋果安全團隊報告了這個問題，現在蘋果已經修復了這個漏洞。

除了向研究人員進行獎勵外，蘋果還表示他們已經對服務器日誌進行了調查，該漏洞還沒有被利用來對任何賬戶造成危害。