“Sign In With Apple” (Đăng nhập bằng Apple) là tính năng ra đời với kỳ vọng tăng cao mức độ bảo mật và riêng tư cho người dùng trực tuyến bằng cách không tiết lộ thông tin cá nhân khi đăng ký tài khoản vào trang web, ứng dụng hay dịch vụ. "Táo khuyết" đã yêu cầu các nhà phát triển phải xem đây là một lựa chọn khi đăng nhập bởi họ tích hợp cơ chế login bằng tài khoản của các công ty khác như Facebook hay Google.
Tuy nhiên, tính năng này lại tiềm ẩn nguy cơ rò rỉ thông tin tài khoản trực tuyến cho bất kỳ người nào có địa chỉ email đăng ký và biết đủ kỹ thuật để gửi yêu cầu lên máy chủ Apple ID. Lỗ hổng này tồn tại kể từ khi “Sign In With Apple” ra đời và chỉ được phát hiện gần đây bởi Bhavuk Jain, một chuyên gia săn tiền thưởng từ lỗi bảo mật. Jain đã báo cáo vấn đề lên Apple và nhận thưởng 100.000 USD.
Về bản chất, ai cũng có thể gửi yêu cầu lấy token cho bất kỳ email đăng ký Apple ID nào và máy chủ của hãng sau đó xác minh token. Nhờ vậy, kẻ tấn công có thể nắm quyền truy cập vào mọi tài khoản đã được liên kết với Apple ID.
Theo Forbes, bảng thành tích của Jain khá đẹp với không ít lần phát hiện và báo cáo lỗi cho Facebook, Google, Pinterest, Yahoo cùng nhiều dịch vụ trực tuyến khác. Sau khi được thông báo về lỗ hổng vào tháng 4, Apple đã xử lý ngay vấn đề. Jain cũng cho biết thêm Apple đã điều tra vào lịch sử hoạt động và không phát hiện thấy trường hợp lạm dụng hay khai khác tài khoản nào từ lỗ hổng trên.
Bình luận (0)