匯流新聞網記者林欣穎/台北報導
Apple過去以實力強大的資安保證在3C產品界享譽盛名,因此Apple一直以來也都會提供給任何經認證後發現Apple產品存在漏洞的人一份高額獎金,而近期有一位研究人員就發現Apple的「Sign in with Apple」這項功能存在一份零時差攻擊漏洞,駭客可以透過偽裝信箱騙過這項驗證機制,而這項漏洞也被Apple證實存在並已經修復完成,頒發給這位研究人員10萬元美金(約台幣300萬元)的獎金。
Sign in with Apple這項認證方式為Apple在2019年加入的隱私都入技術,可以使用隨機電子郵件信箱登入程式帳戶,讓用戶可以更便利登入帳號,不需填寫每個網站各自的表格重新申請特定一組帳號,而這項登入機制所需要用到的信箱,甚至不需要是真實的Apple Email ID。
根據發現漏洞的研究人員表示,這項零時差漏洞容許有心人士一次取得所有網站或程式上的帳號,研究人員說明,Sign in with Apple的運作原理是Apple會在使用者終端認證後發出一封含有信箱帳號的私鑰給用戶,讓用戶輸入在網站上通過驗證,但卻可以讓駭客利用任何信箱取得這份金鑰,還可以通過驗證,代表駭客可以透過任何一組信箱挾持用戶的多個網站帳號。
Apple經檢視後表示這項漏洞為真,並說明目前沒有發現任何遭到駭入的跡象,且已經緊急完成修補,同時提供近台幣300萬元的獎金給這名研究人員,而Apple也會持續精進產品的資安防護機制。Apple今(2)日稍早也對iOS 13.5提供更新,用以防堵先前Unc0ver公布可供越獄使用的漏洞,Apple僅在說明欄表示這項安全性更新非常重要,要求用戶安裝使用。
新聞照來源:unsplash
《更多匯流新聞網報導》
想出國先看這!國研院推「社交距離計步器」 旅遊安全性一看就懂
#BlackLivesMatter發酵!「佛洛伊德之死」激化種族對立 科技大廠齊聲援
【匯流筆陣】
CNEWS歡迎各界投書,來稿請寄至[email protected],並請附上真實姓名、聯絡方式與職業身份簡介。
CNEWS匯流新聞網:https://cnews.com.tw
【文章轉載請註明出處 】