Apple爆資安漏洞！駭客可繞過身分驗證入侵 蘋果證實修復頒百萬獎金

annan5168

Apple過去以實力強大的資安保證在3C產品界享譽盛名，因此Apple一直以來也都會提供給任何經認證後發現Apple產品存在漏洞的人一份高額獎金，而近期有一位研究人員就發現Apple的「Sign in with Apple」這項功能存在一份零時差攻擊漏洞，駭客可以透過偽裝信箱騙過這項驗證機制，而這項漏洞也被Apple證實存在並已經修復完成，頒發給這位研究人員10萬元美金(約台幣300萬元)的獎金。

Sign in with Apple這項認證方式為Apple在2019年加入的隱私都入技術，可以使用隨機電子郵件信箱登入程式帳戶，讓用戶可以更便利登入帳號，不需填寫每個網站各自的表格重新申請特定一組帳號，而這項登入機制所需要用到的信箱，甚至不需要是真實的Apple Email ID。

根據發現漏洞的研究人員表示，這項零時差漏洞容許有心人士一次取得所有網站或程式上的帳號，研究人員說明，Sign in with Apple的運作原理是Apple會在使用者終端認證後發出一封含有信箱帳號的私鑰給用戶，讓用戶輸入在網站上通過驗證，但卻可以讓駭客利用任何信箱取得這份金鑰，還可以通過驗證，代表駭客可以透過任何一組信箱挾持用戶的多個網站帳號。

Apple經檢視後表示這項漏洞為真，並說明目前沒有發現任何遭到駭入的跡象，且已經緊急完成修補，同時提供近台幣300萬元的獎金給這名研究人員，而Apple也會持續精進產品的資安防護機制。Apple今(2)日稍早也對iOS 13.5提供更新，用以防堵先前Unc0ver公布可供越獄使用的漏洞，Apple僅在說明欄表示這項安全性更新非常重要，要求用戶安裝使用。