Lỗ hổng đăng nhập Apple cho phép tin tặc chiếm đoạt tài khoản

Theo TNO

01/06/2020 10:58:37

Tùy chọn đăng nhập bằng tài khoản Apple đang vướng phải một lỗ hổng có thể thông báo giả mạo từ đó cấp quyền truy cập vào hầu như bất kỳ tài khoản nào.

Đa số người dùng an tâm vào khả năng bảo mật của tài khoản Apple, từ đó tùy chọn “Sign in with Apple” để tạo tài khoản đăng nhập trên các dịch vụ cũng như ứng dụng cũng được nhiều người dùng tin chọn. Nhưng hiện tại tùy chọn nói trên đang tồn tại một lỗ hổng bảo mật nghiêm trọng.

Nhà nghiên cứu Bhavuk Jain gần đây nhận được một khoản tiền thưởng trị giá 100.000 USD khi phát hiện (thông qua Hacker News) một lỗ hổng trong dịch vụ đăng nhập khi có sẵn thông qua các ứng dụng của bên thứ ba. Nếu một ứng dụng không có các biện pháp bảo mật riêng, kẻ tấn công có thể giả mạo mã thông báo được liên kết với bất kỳ ID email nào và xác minh đó là hợp lệ bằng cách sử dụng khóa công khai của Apple. Điều đó có thể cho phép tiếp quản tài khoản với toàn quyền ngay cả khi bạn chọn ẩn email của mình khỏi các dịch vụ khác.

Jain đã tìm ra lỗ hổng này vào tháng 4.2020 và hiện tại Apple đã sửa chữa nó. Nhưng phía Apple cho biết không có bằng chứng về việc các tài khoản người dùng đã bị xâm phạm do lỗ hổng nói trên và đa số người dùng đều hy vọng không nên có bất kỳ thiệt hại nào xảy ra. Lỗi này có lẽ không phải là điều mà Apple mong muốn sau khi đối mặt với một loạt vấn đề bảo mật, bao gồm cả lỗ hổng Mail trước đó.