เป็นเวลาหนึ่งสัปดาห์เราสังเกตเห็นว่าในเว็บไซต์ต่างๆและบริการอินเทอร์เน็ตของบุคคลที่สามเราสามารถ "เข้าสู่ระบบ" ด้วย Apple ID. ความจริงก็คือครั้งแรกที่ฉันเห็นเขาฉันย่นจมูกและฉันก็ไม่ตลกเท่าไหร่ สำหรับสิ่งเหล่านี้ฉันมีบัญชี Gmail "ขยะ" อยู่แล้วซึ่งฉันไม่สนใจว่าจะโดนสแปมเพราะฉันไม่เคยดู
หากเป็นความจริงเมื่อ Apple ได้สร้างระบบนี้ขึ้นมาแสดงว่าบริการเว็บที่ใช้บริการนั้นไม่ได้รับข้อมูลผู้ใช้หรืออนุญาตให้ส่งสแปม แต่ในกรณีที่ฉันไม่ได้ตั้งใจที่จะใช้มัน ตอนนี้เรารู้แล้วว่ามีไฟล์ การละเมิดความปลอดภัย ในระบบนี้และ บริษัท ได้ให้รางวัลแก่ผู้ค้นพบข้อผิดพลาดเป็นอย่างดี
ช่องโหว่ด้านความปลอดภัยของ "ลงชื่อเข้าใช้ด้วย Apple" อาจทำให้แฮกเกอร์สามารถควบคุมบัญชีผู้ใช้ที่เข้าถึงผ่านระบบนี้ได้อย่างสมบูรณ์ โชคดีที่นักวิจัยด้านความปลอดภัยในอินเดียพบข้อบกพร่องดังกล่าว ภวัคเชน.
โบนัส $ 100.000
นี่คือค่าหัว 6 หลักแรกของฉันจาก @แอปเปิ้ล. โพสต์บล็อกจะขึ้นในสัปดาห์หน้า #บั๊กบาวน์ตี้ pic.twitter.com/QygxvtGYJb
- ภวัคเชน (@ bhavukjain1) May 24, 2020
ในบล็อกโพสต์เมื่อช่วงสุดสัปดาห์ที่ผ่านมา Jain ตั้งข้อสังเกตว่าเขาได้แจ้งให้ Apple ทราบถึงช่องโหว่ในเดือนเมษายน ได้อย่างรวดเร็วจากคูเปอร์ติโนพวกเขาตรวจสอบข้อผิดพลาดและได้รับการแก้ไข ขอบคุณโปรแกรมบั๊กของ Apple นักวิทยาศาสตร์คอมพิวเตอร์ได้รับรางวัล 100.000 ดอลลาร์สหรัฐ ขอบคุณสำหรับการค้นพบที่สำคัญ
ข้อผิดพลาดเกี่ยวข้องกับปัญหากับโทเค็นเว็บที่สร้างขึ้นเมื่อใช้ระบบ«ลงชื่อเข้าใช้ด้วย Apple»ในบริการเว็บของบุคคลที่สาม Jain ตั้งข้อสังเกตว่าช่องโหว่ดังกล่าวทำให้ทุกคนสามารถขอโทเค็นสำหรับรหัสอีเมลของ Apple ได้ จากนั้นสามารถใช้เป็นโทเค็นเพื่อยืนยันตัวตนได้ วิธีนี้จะทำให้ผู้โจมตีสามารถปลอมแปลงโทเค็นได้โดยเชื่อมโยงกับ Apple ID จากที่นี่คนแปลกหน้าจะสามารถเข้าถึงได้เต็มรูปแบบด้วย Apple iD ที่ถูกแฮ็ก
นักพัฒนาจำนวนมากได้รวม "ลงชื่อเข้าใช้ด้วย Apple" ซึ่งจำเป็นต้องมีบัญชีและมีการเข้าสู่ระบบโซเชียลอื่น ๆ อยู่แล้ว ตัวอย่างเช่น, Facebook, Dropbox, Spotify, Airbnb, Giphy เป็นต้น
แอปเหล่านี้อาจเสี่ยงต่อการถูกยึดบัญชีเต็มรูปแบบหากไม่มีมาตรการรักษาความปลอดภัยอื่น ๆ ในขณะที่ผู้ใช้กำลังได้รับการยืนยัน จากข้อมูลของ Jain Apple ได้ทำการสอบสวนและพิจารณาว่า ไม่มีบัญชีใดถูกบุกรุก เนื่องจากการเข้าสู่ระบบนี้ก่อนที่จะแก้ไขการละเมิดความปลอดภัย