(圖片來源/The Verge)
蘋果在去年6月WWDC開發者大會上推出了一項名為「Sign In with Apple」的登入(SSO)工具,以提供擁有 Apple ID 的用戶用戶在使用第三方服務商時,不必再使用傳統輸入帳號密碼的方式並可快速登入,目前包括像是:Dropbox、Spotify、Airbnb這類應用程式均有支援這項功能;蘋果官方並宣稱該快速登入方式可保護用戶個資,並盡可能減少分享給第三方服務、App 的數據量。
據外媒Apple Insider的最新報導指出,近期一名來自印度的安全研究專家 Bhavuk Jain 發現一個暗藏在「Sign In with Apple」快速登入功能的零日漏洞,一旦駭客發動惡意攻擊時,將能輕易地繞過身份驗證機制,並直接取得該 Apple ID 用戶的帳號權限。
由於該安全漏洞將導致用戶個人帳號隱私資料,恐遭駭入侵竊取的高度風險,經 Bhavuk Jain 回報給蘋果安全團隊後,蘋果也展開調查並回應表示,目前這個已知存在於「Sign In with Apple」的漏洞已獲得修補;此外在修補該項漏洞之前,並未發現有任何Apple ID 帳戶曾遭駭入侵盜用。
另, Bhavuk Jain也因向蘋果舉報該漏洞因此獲得了蘋果安全獎勵賞金10萬美元(約合台幣300萬元)的獎勵。
你可能也想看