大型科技公司如苹果和 Google 等,一直都有“赏金猎人”计划,目的是吸引用户和专家找出产品的资安漏洞,假如属于严重漏洞,发现者可获巨额奖金。日前外媒报导,一名印度资安研究员获得苹果 10 万美元奖金。
资安研究员 Bhavuk Jain 稍早向苹果举报“Sign in with Apple”的严重漏洞。没有额外资安措施的第三方程式使用 Sign in with Apple 登入,攻击者可用任何信箱伪装,然后以苹果公钥认证有效。就算用户选择隐藏信箱,苹果账号仍有机会被盗。
Jain 在 4 月发现此严重漏洞,现在苹果已修复。苹果表示还未有证据,任何账号因此漏洞被盗。这是近期苹果第二个资安漏洞,今年 4 月 iPhone 和 iPad 的信箱程式也有问题,有机会被恶意软件攻击,不过苹果很快就修复。
- ‘Sign in with Apple’ flaw let attackers take over accounts
(本文由 Unwire HK 授权转载;首图来源:pixabay)
延伸阅读:
- 帮忙找系统漏洞,企业对白帽骇客祭天价奖励金
- 安全加分,Google 产品总监赞赏苹果 iOS 13 的登入整合机制
- 苹果 AirDrop 功能或隐藏安全漏洞,可取得 iPhone 电话号码、Apple ID
