蘋果最近向一名27歲的開發(fā)者支付了750萬盧比

一名開發(fā)人員因發(fā)現(xiàn)使用Apple ID的登錄過程中的錯誤而從Apple Security Bounty Program獲得了750萬盧比的收益。

該錯誤與允許iPhone或Mac用戶使用Apple ID登錄第三方網(wǎng)站的過程有關(guān)。漏洞賞金獵人和開發(fā)人員Bhavuk Jain，現(xiàn)年27歲，發(fā)現(xiàn)了一個漏洞，該漏洞會讓任何黑客闖入登錄了Dropbox，Spotify，Airbnb和Giphy(現(xiàn)已被Facebook收購)等第三方應(yīng)用程序的Apple用戶帳戶。

Jain在“使用Apple登錄”中發(fā)現(xiàn)了一個錯誤，該錯誤影響了正在使用它的第三方應(yīng)用程序。

賈恩在博客中指出：“此漏洞可能導(dǎo)致該第三方應(yīng)用程序上的用戶帳戶被全部帳戶接管，而不管受害者是否具有有效的Apple ID。”

賈恩(Jain)擁有電子和通信學(xué)士學(xué)位，根據(jù)蘋果安全賞金計劃(Apple Security Bounty Programme)獲得的報酬約為100,000美元，或略高于750萬盧比。

Jain是一名全棧開發(fā)人員，主要對使用React Native進行移動應(yīng)用程序開發(fā)感興趣。新聞社IANS指出，他目前是一名全職的漏洞賞金獵人，“試圖使互聯(lián)網(wǎng)成為每個人的更安全的地方”。

``隨身攜帶蘋果''于2019年推出，旨在為第三方應(yīng)用提供更多針對隱私的登錄。

“在4月份，我在與Apple一起登錄時發(fā)現(xiàn)了一個為期零天的事件，該事件影響了正在使用它的第三方應(yīng)用程序，并且未實施其自身的附加安全措施。此錯誤可能導(dǎo)致完整的帳戶接管了無論受害者是否擁有有效的Apple ID，該用戶都可以在該第三方應(yīng)用程序上使用用戶帳戶，” Jain在其博客中寫道。

Jain給出了技術(shù)細節(jié)，在他的博客文章中寫道，使用Apple登錄與OAuth 2.0類似。

Jain說，該漏洞非常關(guān)鍵，因為如果在驗證用戶時沒有采取任何安全措施，則該漏洞允許全部帳戶被接管。使用Apple登錄對于支持其他社交登錄的應(yīng)用程序(例如Google或Facebook提供的登錄)是必需的。

賈恩(Jain)的博客指出，蘋果公司確認沒有由于該漏洞引起的濫用或帳戶損害。

幾乎所有大型科技公司都運行漏洞獎勵計劃，向那些發(fā)現(xiàn)其服務(wù)和應(yīng)用程序中存在安全漏洞或缺陷的人提供獎金。

這不是開發(fā)人員第一次因發(fā)現(xiàn)錯誤而獲得懸賞。雖然，賈恩(Jain)從蘋果獲得的賞金絕對是開發(fā)商迄今為止獲得的最大一筆賞金。過去，Google和Facebook公司已經(jīng)向開發(fā)人員支付了數(shù)十萬盧比用于發(fā)現(xiàn)錯誤。