▲蘋果於去年6月的開發者大會(WWDC)上推出了「Sign in with Apple」功能。(圖/達志影像/美聯社)
記者王曉敏/綜合報導
蘋果「Sign in with Apple」功能號稱能較其他登入方式更能保障使用者的資訊安全。不過研究人員近日披露,Sign in with Apple中暗藏一個零日漏洞(Zero-day),讓有心人士得以輕鬆繞過身分驗證機制,直接取得用戶以Apple ID註冊網站的帳號權限。目前蘋果已修復該漏洞,並向研究人員支付10萬美元獎金。
蘋果於去年6月的開發者大會(WWDC)上推出了「Sign in with Apple」功能,讓用戶無須再使用社群媒體帳號或填寫表格來註冊新帳號,只要網站支援Sign in With Apple,用戶接可使用Face ID、Touch ID或設備密碼快速且安全地登入。不過印度安全研究人員Bhavuk Jain上周披露了「Sign in with Apple」內的一個零日漏洞,稱其可允許有心人士「只要擁有用戶的電子郵件信箱即可接管其所有網站或App上的帳號。」
Bhavuk Jain指出,Sign in with Apple是透過JSON Web Token(JWT)或蘋果伺服器生成的程式碼對用戶進行身分驗證,接著,蘋果將讓用戶自行選擇要共享Apple ID資訊或另建一個中繼ID,而這個中繼ID即是攻擊者得以存取用戶帳號權限的破口。
值得一提的是,此漏洞並不是讓有心人士存取用戶的Apple ID帳號,而是用戶以「Sign in with Apple」註冊的第三方服務。
在Bhavuk Jain回報給蘋果後,蘋果已修了該漏洞,並根據其漏洞賞金計畫,向Bhavuk Jain支付了10萬美元(約新台幣301萬元)獎金。據蘋果說法,根據該公司的調查,沒有證據顯示已有駭客透過該漏洞進行攻擊。
讀者迴響