โปรดอัพเดตเบราว์เซอร์

เบราว์เซอร์ที่คุณใช้เป็นเวอร์ชันเก่าซึ่งไม่สามารถใช้บริการของเราได้ เราขอแนะนำให้อัพเดตเบราว์เซอร์เพื่อการใช้งานที่ดีที่สุด

ไอที ธุรกิจ

พบช่องโหว่ใน "Sign in with Apple" เปิดให้ถูกแฮ็กบัญชี Apple ID ได้ แต่แก้ไขแล้ว

Thaiware

อัพเดต 01 มิ.ย. 2563 เวลา 11.00 น. • เผยแพร่ 01 มิ.ย. 2563 เวลา 11.00 น. • Talil
พบช่องโหว่ใน
ช่องโหว่บน Sign in with Apple ที่เปิดให้ Third-party apps ฝัง Token เพื่อเข้าถึงอีเมลจริงๆ ของผู้ใช้และยึดบัญชี แต่ Apple ได้แก้ไขแล้ว พร้อมมอบเงินให้ผู้ค้นพบ

"Sign in with Apple" ถือเป็นหนึ่งฟีเจอร์ที่นับว่ามีประโยชน์มากกับผู้ใช้งาน iPhone หรือ iPad เพราะช่วยให้สามารถใช้ Apple ID เข้าใช้งานแอปพลิเคชัน หรือเว็บไซต์ต่างๆ ได้อย่างปลอดภัยด้วยการปกปิดอีเมลที่แท้จริงเอาไว้ แต่หลายเดือนก่อนมีแฮกเกอร์รายหนึ่งได้ค้นพบช่องโหว่ร้ายแรงที่ Apple ไม่คาดคิด

ซึ่งช่องโหว่นี้ถูกค้นพบโดย Bhavuk Jain เป็นช่องโหว่ที่เกิดจากการใช้ Apple ID ดาวน์โหลดแอปพลิเคชันนอก App store หรือที่เรียก "Third-party apps" ซึ่งแอปพลิเคชันเหล่านี้สามารถโจมตีด้วยการฝัง Token กับอีเมลที่ผูกบัญชีไว้กับ Apple ID เพื่อใช้ยืนยันว่า Email นั้นเป็นของจริงหรือไม่ จนทำให้สามารถเข้าถึง Public Key บน Apple ID ได้ และนำไปสู่การเข้าถึงอีเมลจริงๆ ของผู้ใช้ และทำให้ผู้ใช้อาจถูกแฮก Account แม้จะซ่อนอีเมลไว้ด้วย "Sign in with Apple" แล้ว

พบช่องโหว่ใน
พบช่องโหว่ใน

อย่างไรก็ตามช่องโหว่นี้ถูกค้นพบตั้งแต่เดือนเมษายนที่ผ่านมา แต่ข่าวดีคือยังไม่มีใครได้รับผลกระทบจากช่องโหว่นี้เพราะ Apple ได้รีบแก้ไขไปแล้วอย่างทันท่วงที พร้อมกับมอบเงินรางวัลให้แก่ Bhavuk Jain ไปด้วยประมาณ 100,000 เหรียญสหรัฐ จากการค้นพบช่องโหว่และรายงานต่อบริษัท

0 0
reaction icon 0
reaction icon 0
reaction icon 0
reaction icon 0
reaction icon 0
reaction icon 0