【Inno Portal】蘋果Sign In with Apple爆漏洞帳號易被劫持
《名家合集》收錄名人文章,分享觀點,探討時事。
2020-06-02 17:20 HKT
字體大小
自去年蘋果推出「Sign in with Apple」功能後,登入Dropbox、Spotify等應用程式真的方便了不少,因為只要這些第三方網站支援「Sign in With Apple」,就可以使用Face ID或Touch ID快速登入。不過,方便的背後其實隱藏危機。有網絡安全專家揭發「Sign in with Apple」存在零時差漏洞(Zero-day),黑客可以繞過身分驗證機制,直接取得用戶以Apple ID註冊網站的帳號權限。
蘋果聲稱「Sign in with Apple」功能較其他登入方式更能保障使用者資訊安全,但網絡安全專家 Bhavuk Jain於 4月發現,可以利用任何電郵ID,促使蘋果伺服器發送JWT,其中的簽章還可以成功通過蘋果公鑰的驗證,這表示攻擊者可連結任何電郵ID,進而騎持用戶的網站或應用程式帳號。
Bhavuk Jain通報蘋果後,蘋果立即修補漏洞,並向Jain發放10萬美元獎金。現時不少第三方網站如Dropbox、Spotify、Airbnb、Giphy,以至一些銀行網站都支援「Sign in with Apple」,漏洞可謂影響深遠。不過,蘋果稱沒有發現有任何黑客利用該漏洞的證據。
作者:小飛俠
[email protected]
「Sign in with Apple」功能被揭發存在漏洞。
最Hit
在職家庭津貼2026/27|4月上調入息資產限額 申請資格/津貼金額/一次性額外款項一文睇清
2026-04-04 11:53 HKT
長生津覆檢開始!長者注意紫色通知書 未如期申報或被暫停津貼( 附最新資產限額+填表須知)
2026-04-03 19:21 HKT
六合彩|8000萬復活節金多寶攪珠結果 頭獎一注中幸運兒擸8114萬 齊來對冧巴 !
2026-04-04 21:33 HKT
更多文章
