一名印度开发人员因发现使用Apple ID的登录过程中的错误而从Apple Security Bounty Program获得了750万卢比的收益。

该错误与允许iPhone或Mac用户使用Apple ID登录第三方网站的过程有关。印度漏洞赏金猎人和开发人员Bhavuk Jain，现年27岁，发现了一个漏洞，该漏洞会让任何黑客闯入登录了Dropbox，Spotify，Airbnb和Giphy(现已被Facebook收购)等第三方应用程序的Apple用户帐户。

Jain在“使用Apple登录”中发现了一个错误，该错误影响了正在使用它的第三方应用程序。

贾恩在博客中指出：“此漏洞可能导致该第三方应用程序上的用户帐户被全部帐户接管，而不管受害者是否具有有效的Apple ID。”

贾恩(Jain)拥有电子和通信学士学位，根据苹果安全赏金计划(Apple Security Bounty Programme)获得的报酬约为100,000美元，或略高于750万卢比。

Jain是一名全栈开发人员，主要对使用React Native进行移动应用程序开发感兴趣。新闻社IANS指出，他目前是一名全职的漏洞赏金猎人，“试图使互联网成为每个人的更安全的地方”。

``随身携带苹果''于2019年推出，旨在为第三方应用提供更多针对隐私的登录。

“在4月份，我在与Apple一起登录时发现了一个为期零天的事件，该事件影响了正在使用它的第三方应用程序，并且未实施其自身的附加安全措施。此错误可能导致完整的帐户接管了无论受害者是否拥有有效的Apple ID，该用户都可以在该第三方应用程序上使用用户帐户，” Jain在其博客中写道。

Jain给出了技术细节，在他的博客文章中写道，使用Apple登录与OAuth 2.0类似。

Jain说，该漏洞非常关键，因为如果在验证用户时没有采取任何安全措施，则该漏洞允许全部帐户被接管。使用Apple登录对于支持其他社交登录的应用程序(例如Google或Facebook提供的登录)是必需的。

贾恩(Jain)的博客指出，苹果公司确认没有由于该漏洞引起的滥用或帐户损害。

几乎所有大型科技公司都运行漏洞奖励计划，向那些发现其服务和应用程序中存在安全漏洞或缺陷的人提供奖金。

这不是印度开发人员第一次因发现错误而获得悬赏。虽然，贾恩(Jain)从苹果获得的赏金绝对是印度开发商迄今为止获得的最大一笔赏金。过去，Google和Facebook公司已经向印度开发人员支付了数十万卢比用于发现错误。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：