印度專家揭登入漏洞 蘋果重賞78萬

By on June 2, 2020

原文刊於信報財經新聞「StartupBeat創科鬥室

黑客可藉上述漏洞,接管用戶整個Apple ID,後果可以非常嚴重。(Freepik 網上圖片)

黑客可藉上述漏洞,接管用戶整個Apple ID,後果可以非常嚴重。(Freepik 網上圖片)

科技網站The Hacker News報道,蘋果公司最近向印度資安研究員Bhavuk Jain發放10萬美元(約78萬港元)巨額賞金,獎勵他報告「使用Apple登入」(Sign in with Apple)功能存在嚴重漏洞。

蘋果去年在全球開發商大會(WWDC)上發布「使用Apple登入」新功能,旨在保護用戶私隱,使其易於掌控個人資料。該登錄機制允許蘋果用戶,通過Apple ID在第三方應用程式(App)上,直接註冊或登錄賬號,期間毋須透露其電郵地址。

系統可通過使用JSON Web Token(JWT),或蘋果系統生成的代碼,讓第三方平台以JWT確認用戶身份。惟Jain發現,有關認證系統向蘋果用戶發出請求之前,已先行驗證用戶於第三方平台的身份,從中確認其機密訊息。

黑客可接管用戶Apple ID

Jain揭發黑客事前可在未經授權下,訪問與用戶「登錄」相關的第三方蘋果服務商,例如首先提供受害者的Apple ID,誘騙蘋果系統生成有效的JWT令牌後,再以偽造身份登錄第三方服務平台。黑客可藉上述漏洞,接管用戶整個Apple ID,後果可以非常嚴重。

現時有不少開發商,包括雲端存儲服務商Dropbox、音樂串流平台Spotify,以及網上短租住宿平台Airbnb等,可通過「使用Apple登入」功能,配合人臉辨識Face ID、指紋辨識Touch ID或設備密碼,使旗下賬戶與Apple ID連結,簡化用戶登入平台的步驟。

已啟用雙重身份驗證(2FA)的第三方平台,有關影響相對較小。蘋果據報已修復有關漏洞,並確認未有因此引發賬戶洩露或濫用個案。

蘋果「使用Apple登入」存在嚴重漏洞,黑客或可接管用戶整個Apple ID。(蘋果公司圖片)

蘋果「使用Apple登入」存在嚴重漏洞,黑客或可接管用戶整個Apple ID。(蘋果公司圖片)

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們