「Apple登入」Bug现已修复 苹果支付10万美金奖励

苹果在 WWDC 2019 主题演讲中，发表 Sign in with Apple 的全新功能。这项服务日前被发现一个重大漏洞，所幸已经修复，使用者不需要太过担心。(摘自 YouTube)

苹果(Apple)在 2019 年的 WWDC(苹果全球开发者大会)中，发表全新的「Sign in with Apple」(使用 Apple 登入)功能，来进一步确保苹果服务的用户不需要跟其他厂商分享资料，严保隐私。不料，这项功能被资安研究员发现一项重大漏洞！所幸苹果在获报之后已紧急着手修复，并且给予发现的人员 10 万美元奖励金。

《The Hacker News》报导，研究员 Bhavuk Jain 近日发现存于「Sign in with Apple」的重大漏洞。他发现由于在验证使用者身分的过程中，缺乏进一步的认证，因此给予了骇客可利用的空间，可能可借此获得使用者透过此登入方式所连结的第三方服务帐号。 Bhavuk Jain 指出，这个漏洞的影响力十分关键，很可能让使用者的帐户完全泄漏。再加上不少开发者已经将这项功能与自家服务整合在一起，例如 Dropbox、Spotify、Airbnb 以及 Giphy 等支援这项功能的服务，都可能受到影响。

据了解， Bhavuk Jain 向苹果报告了他的发现，目前苹果已经修复了他所发现的漏洞，并且依据漏洞奖金计划，向他发出了 10 万美元的奖励。苹果方面也回应，根据他们调查伺服器日志的结果，并没有发现有骇客利用了这项漏洞。换句话说，虽然 Sign in with Apple 功能虽然在此之前资安防护不够严谨，但是所幸并没有被骇客趁虚而入，而影响到任何使用者的权益。

Sign in with Apple 是苹果为 iOS 13 纳入的新功能。由于便利性的缘故，不少使用者在登入全新网路服务时，都会利用 Facebook、Google 帐号来绑定登入，如此这两大服务商就有会将进一步了解使用者所使用的服务，甚至借此获得使用者相关资料。而 Sign in with Apple 功能提供了 iOS 使用者一个全新的选项，可透过随机生成的匿名信箱来协助使用者注册，能确保自己惯用的信箱不被泄漏(第三方服务获知)，并且也将透过强化的密码来提升资安防护。使用者因此不再需要因为登入不同的服务而必须要思考另一套全新的帐密组合，既便利也更为安全。