พบช่องโหว่ใน Sign in with Apple

พบช่องโหว่ใน Sign in with Apple

พบช่องโหว่ใน Sign in with Apple
พบช่องโหว่ใน Sign in with Apple

พบช่องโหว่ใน Sign in with Apple “Sign in with Apple” ถือเป็นหนึ่งฟีเจอร์ที่นับว่ามีประโยชน์มากกับผู้ใช้งาน iPhone หรือ iPad เพราะช่วยให้สามารถใช้ Apple ID เข้าใช้งานแอปพลิเคชัน หรือเว็บไซต์ต่างๆ ได้อย่างปลอดภัยด้วยการปกปิดอีเมลที่แท้จริงเอาไว้ แต่หลายเดือนก่อนมีแฮกเกอร์รายหนึ่งได้ค้นพบช่องโหว่ร้ายแรงที่ Apple ไม่คาดคิด

ซึ่งช่องโหว่นี้ถูกค้นพบโดย Bhavuk Jain เป็นช่องโหว่ที่เกิดจากการใช้ Apple ID ดาวน์โหลดแอปพลิเคชันนอก App store หรือที่เรียก “Third-party apps” ซึ่งแอปพลิเคชันเหล่านี้สามารถโจมตีด้วยการฝัง Token กับอีเมลที่ผูกบัญชีไว้กับ Apple ID เพื่อใช้ยืนยันว่า Email นั้นเป็นของจริงหรือไม่ จนทำให้สามารถเข้าถึง Public Key บน Apple ID ได้ และนำไปสู่การเข้าถึงอีเมลจริงๆ ของผู้ใช้ และทำให้ผู้ใช้อาจถูกแฮก Account แม้จะซ่อนอีเมลไว้ด้วย “Sign in with Apple” แล้ว

อย่างไรก็ตามช่องโหว่นี้ถูกค้นพบตั้งแต่เดือนเมษายนที่ผ่านมา แต่ข่าวดีคือยังไม่มีใครได้รับผลกระทบจากช่องโหว่นี้เพราะ Apple ได้รีบแก้ไขไปแล้วอย่างทันท่วงที พร้อมกับมอบเงินรางวัลให้แก่ Bhavuk Jain ไปด้วยประมาณ 100,000 เหรียญสหรัฐ จากการค้นพบช่องโหว่และรายงานต่อบริษัท