นักวิจัยพบช่องโหว่ในระบบ "Sign in with Apple" ทำให้แฮกเกอร์สามารถนำ Apple ID ไปใช้ได้เลย

Apple เปิดตัวระบบล็อกอินแบบใหม่ที่มีชื่อว่า Sign in with Apple เพื่อยกระดับการล็อกอินหรือการลงชื่อเข้าใช้ที่มีความปลอดภัยมากยิ่งขึ้น ผ่านการล็อกอินด้วย Apple ID เอง หลังมีกระแสว่าการล็อกอินด้วยระบบอื่น ๆ อย่างเช่น Facebook ไม่มีความปลอดภัยด้านข้อมูลส่วนตัวของผู้ใช้งาน

ล่าสุดนักวิจัยด้านความปลอดภัย Bhavuk Jain ได้ค้นพบช่องโหว่ของการ Sign in with Apple กรณีที่ผู้ใช้งานทำการ Sign in ในแอปพลิเคชันของนักพัฒนาคนอื่น (3rd party app) แล้วค้นพบว่าแอปนั้น ๆ มีช่องโหว่ แฮกเกอร์สามารถฝัง token ให้เชื่อมโยงกับ Apple ID เพื่อขอใช้ Public key ได้ นั่นทำให้แฮกเกอร์สามารถเข้าถึงและใช้บัญชี Apple ID นั้น ๆ ได้เหมือนกับเป็นของตัวเองเลยนั่นเองครับ

Jain พบช่องโหว่นี้ตั้งแต่เดือนเมษายนที่ผ่านมา โดย Apple ได้แก้ปัญหานี้เรียบร้อยพร้อมกับรายงานว่ายังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้แม้แต่ครั้งเดียว

โดย Bhavuk Jain ได้รับรางวัลเป็นเงิน 100,000 ดอลลาร์สหรัฐจาก Apple ในโครงการ Bug Bounty ครับ