「Sign in with Apple」爆漏洞!蘋果證實已修復 研究人員獲300萬獎金

蘋果於去年6月的開發者大會(WWDC)上推出了「Sign in with Apple」功能。(圖/達志影像美聯社

記者王曉敏綜合報導

蘋果「Sign in with Apple」功能號稱能較其他登入方式更能保障使用者資訊安全。不過研究人員近日披露,Sign in with Apple中暗藏一個零日漏洞(Zero-day),讓有心人士得以輕鬆繞過身分驗證機制,直接取得用戶以Apple ID註冊網站帳號權限。目前蘋果已修復該漏洞,並向研究人員支付10萬美元獎金

蘋果於去年6月的開發者大會(WWDC)上推出了「Sign in with Apple」功能,讓用戶無須再使用社羣媒體帳號或填寫表格來註冊新帳號,只要網站支援Sign in With Apple,用戶接可使用Face ID、Touch ID或設備密碼快速且安全地登入。不過印度安全研究人員Bhavuk Jain上週披露了「Sign in with Apple」內的一個零日漏洞,稱其可允許有心人士「只要擁有用戶的電子郵件信箱即可接管其所有網站或App上的帳號。」

Bhavuk Jain指出,Sign in with Apple是透過JSON Web Token(JWT)或蘋果伺服器生成的程式碼對用戶進行身分驗證,接着,蘋果將讓用戶自行選擇要共享Apple ID資訊或另建一箇中繼ID,而這個中繼ID即是攻擊者得以存取用戶帳號權限的破口

值得一提的是,此漏洞並不是讓有心人士存取用戶的Apple ID帳號,而是用戶以「Sign in with Apple」註冊的第三方服務

在Bhavuk Jain回報給蘋果後,蘋果已修了該漏洞,並根據其漏洞賞金計劃,向Bhavuk Jain支付了10萬美元(約新臺幣301萬元)獎金。據蘋果說法,根據該公司調查,沒有證據顯示已有駭客透過該漏洞進行攻擊。

#過期票券浪費!簡單3步驟 教你搶救妙招