大型科技公司如 Apple 和 Google 等,一直都有推出「賞金獵人」計劃,目的是吸引用戶和專家找出產品的保安漏洞,假如屬於嚴重漏洞,發現者可以獲得巨額獎金。日前外國傳媒報導指,一名印度的保安研究員取得了 Apple 的 10 萬美元(約 77.5 萬港元)的獎金。
這位名叫 Bhavuk Jain 的保安研究員,早前向 Apple 舉報「Sign in with Apple」的嚴重保安漏洞。在沒有額外保安措施的第三方程式使用 Sign in with Apple 登入,攻擊者可以任何電郵地址去偽冒令牌,然後以 Apple 的公鑰進行認證為有效。就算用戶選擇將電郵地址隱藏,其 Apple 帳號仍然有機會被完全盜取。
Jain 在 4 月發現此嚴重漏洞,現時 Apple 已經將之修復。Apple 表示現時未有證據,任何帳號因此漏洞而被盜用。這是近期 Apple 的第二宗保安漏洞,今年 4 月 iPhone 和 iPad 的電郵程式亦出現問題,有機會受到惡意軟件的攻擊,不過 Apple 亦很快完成修復。
來源:engadget