Khi Apple giới thiệu “Sign in with Apple” tại hội nghị WWDC 2019, công ty gọi đây là “cách riêng tư hơn để đăng nhập vào ứng dụng, website đơn giản, nhanh chóng”. Ý tưởng của Apple là thay thế cách đăng nhập truyền thống bằng hệ thống xác thực an toàn cùng lời cam kết không ghi lại hoạt động của ứng dụng hay người dùng.
Apple trả hơn 2 tỷ đồng cho người phát hiện lỗ hổng “Sign in with Apple”
Thứ ba, 22/09/2020 14:44
Chi tiết về lỗ hổng bảo mật trong tính năng “Sign in with Apple” đã được tiết lộ. Người báo cáo được thưởng 100.000 USD (hơn 2 tỷ đồng).
Một trong các điểm thu được nhiều chú ý chính là khả năng đăng ký ứng dụng/website bên thứ ba mà không cần tiết lộ địa chỉ email Apple ID. Vì vậy, nó được xem là riêng tư hơn so với dùng tài khoản Google, Facebook.
Tuy nhiên, tháng 4/2020, Bhavuk Jain, một chuyên gia bảo mật đến từ Delhi, đã phát hiện lỗ hổng trong tính năng Sign in with Apple, cho phép tin tặc chiếm quyền tài khoản chỉ bằng email ID. Lỗ hổng nghiêm trọng tới mức Apple đã trả cho người này 100.000 USD (hơn 2 tỷ đồng).
Sau khi Apple vá lỗi, Bhavuk Jain công bố về lỗ hổng vào ngày 30/5. Theo chuyên gia, lỗ hổng cho phép kích hoạt thay đổi trong tài khoản người dùng của ứng dụng, bất kể người đó dùng Apple ID thật hay không. Do Apple yêu cầu tích hợp Sign in with Apple trong nhiều ứng dụng, về mặt lý thuyết, lỗi nếu bị khai thác sẽ có tác động rất rộng. Điều tra của nhóm bảo mật Apple cho thấy trên thực tế, lỗ hổng chưa được dùng trong một cuộc tấn công nào.