（在说正事之前，我要推荐一个福利：你还在原价购买阿里云、腾讯云、华为云服务器吗？那太亏啦！来这里，新购、升级、续费都打折，能够为您省60%的钱呢！2核4G企业级云服务器低至69元/年，点击进去看看吧>>>)

苹果用户在使用APP或者登录网站账号时，不可避免地会遇到“使用Apple ID登录”的弹框提示，这种操作可以免去重新注册账号的麻烦。

但是，近日曝出苹果这一“使用Apple ID登录”功能存在高危漏洞，黑客可以利用该漏洞攻击用户设备，甚至进行账号劫持。

原本是为了提高苹果用户账号安全的一项功能，如今却因存在漏洞反被黑客利用?

去年，苹果宣布引入“使用Apple ID登录”功能，作为一种隐私保护工具，旨在提高用户安全性，用户可以直接使用苹果账号登录，而无需透露自己的电子邮件、Twitter、Facebook等其他平台账号。不仅如此，苹果还承诺不会跟踪这一登录情况，仅保留登录所需信息。

对于用户来说，这一便利性功能广受欢迎，所以目前很多应用程序和网站都会采用这一功能，比如Spotify，Dropbox，Airbnb等。

技术便捷是一把双刃剑，使用得好则利于人们的生活，但是如果不法分子使用得好，则是窃取用户信息的利器。

漏洞允许使用任何其他Apple ID登录

4月，全栈研发人员Bhavuk Jain发现了苹果“使用Apple ID登录”功能的这一严重漏洞，该漏洞允许黑客使用任何其他Apple ID进行登录，带来的直接后果就是用户的第三方账户劫持。

随后，Bhavuk Jain向苹果上报了这一严重漏洞，获得了10万美元的漏洞赏金。

在Jain发布的博客中可以看到一些漏洞细节。一般而言，使用苹果服务器生成的JWT(JSON Web Token)身份验证令牌或者代码(可生成JWT)可进行用户验证。

下图显示了JWT创建和验证的工作方式。

苹果用户可自行选择是否与第三方应用程序共享Apple电子邮件 ID，如果用户同意共享，并对此进行授权，苹果将创建一个JWT，内含邮件ID，允许第三方应用程序登录账户。

因此，问题来了。攻击者可以将任何电子邮件ID链接到JWT上，伪造JWT来获取用户的访问权，而这一过程中使用的那个邮件ID无法验证是否是用户的真实账号。

因此，攻击者从而达到劫持用户第三方账号的目的。 所幸，目前苹果已经修复了该漏洞，且尚未发现由此引发的用户数据泄露。

Apple ID是苹果设备的安全钥匙，一旦被获取或者被利用则容易导致用户数据泄露或者引发勒索。利用Apple ID进行的诈骗案例也不在少数。比如，利用社会工程学引导用户登录诈骗分子的Apple ID，随后再进行设备锁定，勒索用户缴纳赎金。

因此，注意Apple ID要谨慎使用，比如尽量不要使用不正规的第三方助手，或者开启二步验证或者双重认证来提高安全性。