一名开发人员因发现使用Apple ID的登录过程中的错误而从Apple Security Bounty Program获得了750万卢比的收益。
该错误与允许iPhone或Mac用户使用Apple ID登录第三方网站的过程有关。漏洞赏金猎人和开发人员Bhavuk Jain,现年27岁,发现了一个漏洞,该漏洞会让任何黑客闯入登录了Dropbox,Spotify,Airbnb和Giphy(现已被Facebook收购)等第三方应用程序的Apple用户帐户。
Jain在“使用Apple登录”中发现了一个错误,该错误影响了正在使用它的第三方应用程序。
贾恩在博客中指出:“此漏洞可能导致该第三方应用程序上的用户帐户被全部帐户接管,而不管受害者是否具有有效的Apple ID。”
贾恩(Jain)拥有电子和通信学士学位,根据苹果安全赏金计划(Apple Security Bounty Programme)获得的报酬约为100,000美元,或略高于750万卢比。
Jain是一名全栈开发人员,主要对使用React Native进行移动应用程序开发感兴趣。新闻社IANS指出,他目前是一名全职的漏洞赏金猎人,“试图使互联网成为每个人的更安全的地方”。
“随身携带苹果”于2019年推出,旨在为第三方应用提供更多针对隐私的登录。
“在4月份,我在与Apple一起登录时发现了一个为期零天的事件,该事件影响了正在使用它的第三方应用程序,并且未实施其自身的附加安全措施。此错误可能导致完整的帐户接管了无论受害者是否拥有有效的Apple ID,该用户都可以在该第三方应用程序上使用用户帐户,” Jain在其博客中写道。
Jain给出了技术细节,在他的博客文章中写道,使用Apple登录与OAuth 2.0类似。
Jain说,该漏洞非常关键,因为如果在验证用户时没有采取任何安全措施,则该漏洞允许全部帐户被接管。使用Apple登录对于支持其他社交登录的应用程序(例如Google或Facebook提供的登录)是必需的。
贾恩(Jain)的博客指出,苹果公司确认没有由于该漏洞引起的滥用或帐户损害。
几乎所有大型科技公司都运行漏洞奖励计划,向那些发现其服务和应用程序中存在安全漏洞或缺陷的人提供奖金。
这不是开发人员第一次因发现错误而获得悬赏。虽然,贾恩(Jain)从苹果获得的赏金绝对是开发商迄今为止获得的最大一笔赏金。过去,Google和Facebook公司已经向开发人员支付了数十万卢比用于发现错误。