พบช่องโหว่ใน "Sign in with Apple" เปิดให้ถูกแฮ็กบัญชี Apple ID ได้ แต่แก้ไขแล้ว

เมื่อ :
ผู้เข้าชม : 1,214
เขียนโดย :
image_big
image_big
เมื่อ :
ผู้เข้าชม : 1,214
เขียนโดย :

"Sign in with Apple" ถือเป็นหนึ่งฟีเจอร์ที่นับว่ามีประโยชน์มากกับผู้ใช้งาน iPhone หรือ iPad เพราะช่วยให้สามารถใช้ Apple ID เข้าใช้งานแอปพลิเคชัน หรือเว็บไซต์ต่างๆ ได้อย่างปลอดภัยด้วยการปกปิดอีเมลที่แท้จริงเอาไว้ แต่หลายเดือนก่อนมีแฮกเกอร์รายหนึ่งได้ค้นพบช่องโหว่ร้ายแรงที่ Apple ไม่คาดคิด

ซึ่งช่องโหว่นี้ถูกค้นพบโดย Bhavuk Jain เป็นช่องโหว่ที่เกิดจากการใช้ Apple ID ดาวน์โหลดแอปพลิเคชันนอก App store หรือที่เรียก "Third-party apps" ซึ่งแอปพลิเคชันเหล่านี้สามารถโจมตีด้วยการฝัง Token กับอีเมลที่ผูกบัญชีไว้กับ Apple ID เพื่อใช้ยืนยันว่า Email นั้นเป็นของจริงหรือไม่ จนทำให้สามารถเข้าถึง Public Key บน Apple ID ได้ และนำไปสู่การเข้าถึงอีเมลจริงๆ ของผู้ใช้ และทำให้ผู้ใช้อาจถูกแฮก Account แม้จะซ่อนอีเมลไว้ด้วย "Sign in with Apple" แล้ว

พบช่องโหว่ใน "Sign in with Apple" เปิดให้ถูกแฮ็กบัญชี Apple ID ได้ แต่แก้ไขแล้ว

อย่างไรก็ตามช่องโหว่นี้ถูกค้นพบตั้งแต่เดือนเมษายนที่ผ่านมา แต่ข่าวดีคือยังไม่มีใครได้รับผลกระทบจากช่องโหว่นี้เพราะ Apple ได้รีบแก้ไขไปแล้วอย่างทันท่วงที พร้อมกับมอบเงินรางวัลให้แก่ Bhavuk Jain ไปด้วยประมาณ 100,000 เหรียญสหรัฐ จากการค้นพบช่องโหว่และรายงานต่อบริษัท

ต้นฉบับ :
ที่มา :