Apple Cybersecurity News

ผู้พบบัคใน ‘Sign in with Apple’ ได้รับเงินกว่าสามล้านบาท

Apple ให้รางวัลนักล่าช่องโหว่ (Bug Bounty Hunter) เป็นเงินกว่า 100,000 เหรียญสหรัฐฯหรือกว่า 3 ล้านบาท ที่พบช่องโหว่อันตรายในกระบวนการล็อคอิน

Apple ให้รางวัลนักล่าช่องโหว่ (Bug Bounty Hunter) เป็นเงินกว่า 100,000 เหรียญสหรัฐฯหรือกว่า 3 ล้านบาท ที่พบช่องโหว่อันตรายในกระบวนการล็อคอิน

ช่องโหว่ใน ‘Sign in with Apple’ ทำให้แฮกเกอร์สามารถเข้าถึงบัญชีของผู้ใช้ได้ คุณ Bhavuk Jain บอกว่าทุกแอปพลิเคชั่นและเว็บไซต์ที่ไม่มีมาตรการความปลอดภัยเพิ่มเติมกำลังตกอยู่ในความเสี่ยง

คุณ Jain พบช่องโหว่ดังกล่าวเมื่อเดือนเมษายน 2020 และรายงานให้กับ Apple จากนั้นทาง Apple ก็ติดต่อกลับมาพร้อมมอบเงินรางวัลจำนวน 100,000 เหรียญสหรัฐฯ หรือประมาณ 3 ล้านบาท แม้ว่าทาง Apple จะตรวจสอบแล้วจะยังไม่มีใครใช้ช่องโหว่ และดำเนินการแก้ไขแล้ว

ตามที่คุณ Jain รายงานบอกว่าช่องโหว่นี้สามารถเจาะได้ผ่าน JSON web token (JWT) หรือโค้ดจากเซิร์ฟเวอร์ Apple ที่จะสร้าง JWT ขึ้นมาอีกที เมื่อผู้ใช้ล็อคอินจะสามารถเลือกที่จะแชร์ Apple ID ที่เกี่ยวข้องกับอีเมลกับบุคคลที่สามหรือไม่

การล็อคอินด้วย “Sign in with Apple” มีทางเลือกอื่นๆ เช่น Facebook และ Google แล้วฟีเจอร์นี้มีในหลายบริการใหญ่ๆ ทั้ง Spotify, Airbnb, Adobe, eBay, Dropbox และอื่นๆ

Author: Amer Owaida
Source:
https://www.welivesecurity.com/2020/06/01/bug-sign-in-apple-account-hijacking/
Translated by: Worapon H.

<span>%d</span> bloggers like this: