นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ ใน Sign in with Apple เปิดทางให้แฮกเกอร์ยึดบัญชี
Apple ได้พัมนา ‘Sign in with Apple’ สำหรับใช้ล็อกอินเข้าบริการต่างๆเพื่อเป็นทางเลือกแทนการใช้การลงชื่อด้วยบัญชี Facebook หรือ Google โดยเน้นเรื่องของความเป็นส่วนตัวมากกว่า
แต่ล่าสุดทาง Bhavuk Jain นักวิจัยด้านความปลอดภัยเพิ่งได้รับรางวัล 100,000 ดอลลาร์จากโครงการ bug bounty จากการค้นพบช่องโหว่ใหม่ใน Sign in with Apple เมื่อใช้งานกับแอป third-party
ในกรณีที่แอปนั้นไม่มีระบบรักษาความปลอดภัย แฮกเกอร์สามารถฝัง token ที่เชื่อมโยงกับอีเมลที่ผูกกับ Apple ID เพื่อทำการ verify ว่าเป็นอีเมลจริงเพื่อให้สามารถเข้าใช้ public key ของ Apple ได้ นั่นหมายความว่าแฮกเกอร์สามารถเข้าถึงและยึดบัญชีนั้นๆได้ทันที แม้เราจะตั้งค่าให้ซ่อนอีเมลจากบริการอื่นๆก็ตาม
ข่าวดีก็คือ ช่องโหว่นี้ถูกค้นพบตั้งแต่เดือเมษายนที่ผ่านมาและได้ทำการปิดช่องโหว่เรียบร้อยแล้ว ซึ่งทาง Apple ได้ตรวจสอบแล้ว ไม่พบว่ามีผู้ใช้รายใดที่ถูกจู่โจมด้วยวิธีการนี้
ที่มา Engadget