Sign in with Apple 曾存在能讓駭客偽造權杖接管帳戶的漏洞
好在 Apple 已將其修復。
對於主打隱私安全性的 Sign in with Apple 功能來說,出現能讓人侵入帳戶的漏洞可不是件小事。而安全專家 Bhavuk Jain 日前就因為在第三方 app 中發現了這方面的問題,從 Apple 那裡領到了 10 萬美元的抓蟲獎金。具體來說,駭客可以在那些自身不具備安全措施的第三方應用裡,將任意電郵 ID 連結偽造權杖(token),從而騙過 Apple 的公鑰驗證。在經過了這樣的操作之後,駭客就能夠「完全接管」帳戶。即便用戶沒有向其它服務分享電郵資訊,也沒有辦法防禦這類攻擊。
Jain 在四月的時候發現並上報了這個漏洞,而 Apple 也已在第一時間將其修復。按照官方說法,目前並沒有證據顯示該漏洞曾被人利用來危害任何帳戶。