「Apple登入」Bug現已修復 蘋果支付10萬美金獎勵

蘋果在 WWDC 2019 主題演講中，發表 Sign in with Apple 的全新功能。這項服務日前被發現一個重大漏洞，所幸已經修復，使用者不需要太過擔心。(摘自 YouTube)

蘋果(Apple)在 2019 年的 WWDC(蘋果全球開發者大會)中，發表全新的「Sign in with Apple」(使用 Apple 登入)功能，來進一步確保蘋果服務的用戶不需要跟其他廠商分享資料，嚴保隱私。不料，這項功能被資安研究員發現一項重大漏洞！所幸蘋果在獲報之後已緊急着手修復，並且給予發現的人員 10 萬美元獎勵金。

《The Hacker News》報導，研究員 Bhavuk Jain 近日發現存於「Sign in with Apple」的重大漏洞。他發現由於在驗證使用者身分的過程中，缺乏進一步的認證，因此給予了駭客可利用的空間，可能可藉此獲得使用者透過此登入方式所連結的第三方服務帳號。 Bhavuk Jain 指出，這個漏洞的影響力十分關鍵，很可能讓使用者的帳戶完全泄漏。再加上不少開發者已經將這項功能與自家服務整合在一起，例如 Dropbox、Spotify、Airbnb 以及 Giphy 等支援這項功能的服務，都可能受到影響。

據瞭解， Bhavuk Jain 向蘋果報告了他的發現，目前蘋果已經修復了他所發現的漏洞，並且依據漏洞獎金計劃，向他發出了 10 萬美元的獎勵。蘋果方面也迴應，根據他們調查伺服器日誌的結果，並沒有發現有駭客利用了這項漏洞。換句話說，雖然 Sign in with Apple 功能雖然在此之前資安防護不夠嚴謹，但是所幸並沒有被駭客趁虛而入，而影響到任何使用者的權益。

Sign in with Apple 是蘋果爲 iOS 13 納入的新功能。由於便利性的緣故，不少使用者在登入全新網路服務時，都會利用 Facebook、Google 帳號來綁定登入，如此這兩大服務商就有會將進一步瞭解使用者所使用的服務，甚至藉此獲得使用者相關資料。而 Sign in with Apple 功能提供了 iOS 使用者一個全新的選項，可透過隨機生成的匿名信箱來協助使用者註冊，能確保自己慣用的信箱不被泄漏(第三方服務獲知)，並且也將透過強化的密碼來提升資安防護。使用者因此不再需要因爲登入不同的服務而必須要思考另一套全新的帳密組合，既便利也更爲安全。