蘋果 公司在2019年發表了新的「Sign In with Apple 」功能,讓蘋果的使用者可以繞過臉書及Google,直接使用Apple ID登入某些網站。這樣的功能是為保障用戶的個資,然近日卻有專家發現,這個功能藏有巨大的資安漏洞,可以讓駭客發動攻擊。
據《Apple Insider》5月31日的報導,資訊安全專家賈恩(Bhavuk Jain)發現,「Sign In with Apple」中藏有零時差漏洞(zero-day vulnerability),這個漏洞讓駭客可以登入甚至接管別人的帳戶。
會有這樣的問題,主要是因為蘋果的程式碼中,當使用者要授權某網站時,可以選擇是否共享Apple ID的資訊,如果選擇不要,蘋果將會產生一個中繼的ID。攻擊者便是藉由創建一個中繼ID,得到訪問受害者帳戶的權限。
蘋果公司原本設計這項功能,是為讓使用者可以不用因為以臉書、Google等第三方登入,讓自己的數據資料被追蹤。如今這項功能被發現存有漏洞,賈恩因此得到蘋果安全獎勵賞金10萬美元(約合台幣299萬元),而蘋果已針對該漏洞進行修復,也確定沒有人因此漏洞而被盜用。
