大型科技公司如蘋果和 Google 等,一直都有「賞金獵人」計畫,目的是吸引用戶和專家找出產品的資安漏洞,假如屬於嚴重漏洞,發現者可獲巨額獎金。日前外媒報導,一名印度資安研究員獲得蘋果 10 萬美元獎金。
資安研究員 Bhavuk Jain 稍早向蘋果舉報「Sign in with Apple」的嚴重漏洞。沒有額外資安措施的第三方程式使用 Sign in with Apple 登入,攻擊者可用任何信箱偽裝,然後以蘋果公鑰認證有效。就算用戶選擇隱藏信箱,蘋果帳號仍有機會被盜。
Jain 在 4 月發現此嚴重漏洞,現在蘋果已修復。蘋果表示還未有證據,任何帳號因此漏洞被盜。這是近期蘋果第二個資安漏洞,今年 4 月 iPhone 和 iPad 的信箱程式也有問題,有機會被惡意軟體攻擊,不過蘋果很快就修復。
(本文由 Unwire HK 授權轉載;首圖來源:pixabay)