【Inno Portal】苹果Sign In with Apple爆漏洞帐号易被劫持
《名家合集》收录名人文章,分享观点,探讨时事。
2020-06-02 17:20 HKT
字体大小
自去年苹果推出「Sign in with Apple」功能后,登入Dropbox、Spotify等应用程式真的方便了不少,因为只要这些第三方网站支援「Sign in With Apple」,就可以使用Face ID或Touch ID快速登入。不过,方便的背后其实隐藏危机。有网络安全专家揭发「Sign in with Apple」存在零时差漏洞(Zero-day),黑客可以绕过身分验证机制,直接取得用户以Apple ID注册网站的帐号权限。
苹果声称「Sign in with Apple」功能较其他登入方式更能保障使用者资讯安全,但网络安全专家 Bhavuk Jain于 4月发现,可以利用任何电邮ID,促使苹果伺服器发送JWT,其中的签章还可以成功通过苹果公钥的验证,这表示攻击者可连结任何电邮ID,进而骑持用户的网站或应用程式帐号。
Bhavuk Jain通报苹果后,苹果立即修补漏洞,并向Jain发放10万美元奖金。现时不少第三方网站如Dropbox、Spotify、Airbnb、Giphy,以至一些银行网站都支援「Sign in with Apple」,漏洞可谓影响深远。不过,苹果称没有发现有任何黑客利用该漏洞的证据。
作者:小飞侠
[email protected]
「Sign in with Apple」功能被揭发存在漏洞。
最Hit
在职家庭津贴2026/27|4月上调入息资产限额 申请资格/津贴金额/一次性额外款项一文睇清
2026-04-04 11:53 HKT
长生津覆检开始!长者注意紫色通知书 未如期申报或被暂停津贴( 附最新资产限额+填表须知)
2026-04-03 19:21 HKT
六合彩|8000万复活节金多宝搅珠结果 头奖一注中幸运儿擸8114万 齐来对冧巴 !
2026-04-04 21:33 HKT
更多文章
