近日苹果向印度漏洞安全研究专家Bhavuk Jain支付了高达10万美元的巨额赏金苹果回应邮件漏洞，原因就是他报告了存在于Sign in with Apple中的严重高危漏洞。Sign in with Apple（通过Apple登录），能让你利用现有的Apple ID快速、轻松地登录 App 和网站，目前按该漏洞已经修复。

该漏洞允许远程攻击者绕过身份验证苹果回应邮件漏洞，接管目标用户在第三方服务和应用中使用Sign in with Apple创建的帐号。在接受外媒The Hacker News采访的时候，Bhavuk Jain表示在向苹果的身份验证服务器发出请求之前，苹果客户端验证用户方式上存在漏洞。

通过“Sign in with Apple”验证用户的时候，服务器会包含秘密信息的JSON Web Token（JWT），第三方应用会使用JWT来确认登录用户的身份苹果回应邮件漏洞。Bhavuk发现，虽然苹果公司在发起请求之前要求用户先登录到自己的苹果账户，但在下一步的验证服务器上，它并没有验证是否是同一个人在请求JSON Web Token(JWT)。

因此，该部分机制中缺失的验证可能允许攻击者提供一个属于受害者的单独的苹果ID，欺骗苹果服务器生成JWT有效的有效载荷，以受害者的身份登录到第三方服务中。Bhavuk表示：“我发现我可以向苹果公司的任何Email ID请求JWT，当这些令牌的签名用苹果公司的公钥进行验证时，显示为有效。这意味着，攻击者可以通过链接任何Email ID来伪造JWT，并获得对受害者账户的访问权限。”

Bhavuk表示即使你选择隐藏你的电子邮件ID，这个漏洞同样能够生效。即使你选择向第三方服务隐藏你的电子邮件ID，也可以利用该漏洞用受害者的Apple ID注册一个新账户。

Bhavuk补充道：“这个漏洞的影响是相当关键的，因为它可以让人完全接管账户。许多开发者已经将Sign in with Apple整合到应用程序中，目前Dropbox、Spotify、Airbnb、Giphy（现在被Facebook收购）都支持这种登录方式。”

Bhavuk在上个月负责任地向苹果安全团队报告了这个问题，目前该公司已经对该漏洞进行了补丁。除了向研究人员支付了bug赏金外，该公司在回应中还确认，它对他们的服务器日志进行了调查，发现该漏洞没有被利用来危害任何账户

苹果验证电子邮件服务器出现问题？

这样的情况一般是由于网络连接出现问题导致的，建议更换一个连接网络。具体原因如下：

1、Apple ID帐号、密码输入错误导致无法登录。

2、Apple ID被别人给盗走修改密码了，导致登录失败。

3、Apple ID帐号被冻结掉不能使用。

解决方法：

1、更换手机当前连接网络信号，比如：将无线网络切换至手机数据、或者是断开网络输入密码进行重新连接。

2、如果第一步不行，在设置-通用-还原-网络配置,就可以用了。注意之前连过wifi的记录消失了，连wifi的时候要重新输入密码。

3、两个方法不行的话，那就是苹果服务器的问题，请稍后再尝试连接服务器。

其它解决方法

1、可以尝试还原一下网络设置，这样也可以避免出现这样的提示。

2、或者使用其它Apple ID账号登录iCloud。

验证失败、连接到服务器时出现问题”一般是由于网络连接出现异常或者手机系统出错导致的，更换手机当前连接网络信号，比如：将无线网络切换至手机数据、或者是断开网络输入密码进行重新连接。

进入手机无线网络按一下“i”，在配置NDS一栏里面，将自动调为手动，之后把自动配置的DNS服务器地址全部删除，把DNS服务器地址设置为8.8.8.8或者114.114.114.144，点击存储按钮。若问题依然存在，可能是周围网络信号不好，建议将手机到网络信号比较强的地方尝试登录注销账号。