Apple爆資安漏洞!駭客可繞過身分驗證入侵 蘋果證實修復頒百萬獎金 - 匯流新聞網

DIGITAL

Apple爆資安漏洞!駭客可繞過身分驗證入侵 蘋果證實修復頒百萬獎金
  • 字級
Apple爆資安漏洞!駭客可繞過身分驗證入侵 蘋果證實修復頒百萬獎金

匯流新聞網記者林欣穎/台北報導

Apple過去以實力強大的資安保證在3C產品界享譽盛名,因此Apple一直以來也都會提供給任何經認證後發現Apple產品存在漏洞的人一份高額獎金,而近期有一位研究人員就發現Apple的「Sign in with Apple」這項功能存在一份零時差攻擊漏洞,駭客可以透過偽裝信箱騙過這項驗證機制,而這項漏洞也被Apple證實存在並已經修復完成,頒發給這位研究人員10萬元美金(約台幣300萬元)的獎金。

Sign in with Apple這項認證方式為Apple在2019年加入的隱私都入技術,可以使用隨機電子郵件信箱登入程式帳戶,讓用戶可以更便利登入帳號,不需填寫每個網站各自的表格重新申請特定一組帳號,而這項登入機制所需要用到的信箱,甚至不需要是真實的Apple Email ID。

根據發現漏洞的研究人員表示,這項零時差漏洞容許有心人士一次取得所有網站或程式上的帳號,研究人員說明,Sign in with Apple的運作原理是Apple會在使用者終端認證後發出一封含有信箱帳號的私鑰給用戶,讓用戶輸入在網站上通過驗證,但卻可以讓駭客利用任何信箱取得這份金鑰,還可以通過驗證,代表駭客可以透過任何一組信箱挾持用戶的多個網站帳號。

Apple經檢視後表示這項漏洞為真,並說明目前沒有發現任何遭到駭入的跡象,且已經緊急完成修補,同時提供近台幣300萬元的獎金給這名研究人員,而Apple也會持續精進產品的資安防護機制。Apple今(2)日稍早也對iOS 13.5提供更新,用以防堵先前Unc0ver公布可供越獄使用的漏洞,Apple僅在說明欄表示這項安全性更新非常重要,要求用戶安裝使用。

新聞照來源:unsplash

《更多匯流新聞網報導》

想出國先看這!國研院推「社交距離計步器」 旅遊安全性一看就懂

#BlackLivesMatter發酵!「佛洛伊德之死」激化種族對立 科技大廠齊聲援

【匯流筆陣】
CNEWS歡迎各界投書,來稿請寄至[email protected],並請附上真實姓名、聯絡方式與職業身份簡介。
CNEWS匯流新聞網:https://cnews.com.tw

【文章轉載請註明出處 】


R18