苹果用户在使用APP或者登录网站账号时，不可避免地会遇到“使用Apple ID登录”的弹框提示，这种操作可以免去重新注册账号的麻烦。

　　但是，近日曝出苹果这一“使用Apple ID登录”功能存在高危漏洞，黑客可以利用该漏洞攻击用户设备，甚至进行账号劫持。

　　去年，苹果宣布引入“使用Apple ID登录”功能，作为一种隐私保护工具，旨在提高用户安全性，用户可以直接使用苹果账号登录，而无需透露自己的电子邮件、Twitter、Facebook等其他平台账号。不仅如此，苹果还承诺不会跟踪这一登录情况，仅保留登录所需信息。

　　对于用户来说，这一便利性功能广受欢迎，所以目前很多应用程序和网站都会采用这一功能，比如Spotify，Dropbox，Airbnb等。

　　技术是一把双刃剑，使用得好则便捷人们的生活，但是如果不法分子使用得好，则是窃取用户信息的利器。

　　4月苹果id商店信息，全栈研发人员Bhavuk Jain发现了苹果“使用Apple ID登录”功能的这一严重漏洞，该漏洞允许黑客使用任何其他Apple ID进行登录，带来的直接后果就是用户的第三方账户劫持。

　　在Jain发布的博客中可以看到一些漏洞细节。一般而言，使用苹果服务器生成的JWT（JSON Web Token）身份验证令牌或者代码（可生成JWT）可进行用户验证。

　　苹果用户可自行选择是否与第三方应用程序共享Apple电子邮件 ID，如果用户同意共享，并对此进行授权，苹果将创建一个JWT，内含邮件ID，允许第三方应用程序登录账户。

　　因此，问题来了。攻击者可以将任何电子邮件ID链接到JWT上，伪造JWT来获取用户的访问权，而这一过程中使用的那个邮件ID无法验证是否是用户的真实账号。

　　因此，攻击者从而达到劫持用户第三方账号的目的。 所幸，目前苹果已经修复了该漏洞，且尚未发现由此引发的用户数据泄露。

　　Apple ID是苹果设备的安全钥匙，一旦被获取或者被利用则容易导致用户数据泄露或者引发勒索。利用Apple ID进行的诈骗案例也不在少数。比如，利用社会工程学引导用户登录诈骗分子的Apple ID，随后再进行设备锁定，勒索用户缴纳赎金。

　　因此，注意Apple ID要谨慎使用，比如尽量不要使用不正规的第三方助手，或者开启二步验证或者双重认证来提高安全性。

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　见证历史！美国41岁亿万富翁出舱停留10多分钟，离地700多公里！太空行走不再是宇航员“专利”

　　男子出国旅游前办了漫游 预期600多元的线后清华博士王晓英有新职 毕业后和丈夫一同扎根青海

　　男子出国旅游前办了漫游 预期600多元的线后清华博士王晓英有新职 毕业后和丈夫一同扎根青海