資安專家發現嚴重漏洞，獲蘋果 10 萬美元獎金

大型科技公司如蘋果和 Google 等，一直都有「賞金獵人」計畫，目的是吸引用戶和專家找出產品的資安漏洞，假如屬於嚴重漏洞，發現者可獲巨額獎金。日前外媒報導，一名印度資安研究員獲得蘋果 10 萬美元獎金。

資安研究員 Bhavuk Jain 稍早向蘋果舉報「Sign in with Apple」的嚴重漏洞。沒有額外資安措施的第三方程式使用 Sign in with Apple 登入，攻擊者可用任何信箱偽裝，然後以蘋果公鑰認證有效。就算用戶選擇隱藏信箱，蘋果帳號仍有機會被盜。

Jain 在 4 月發現此嚴重漏洞，現在蘋果已修復。蘋果表示還未有證據，任何帳號因此漏洞被盜。這是近期蘋果第二個資安漏洞，今年 4 月 iPhone 和 iPad 的信箱程式也有問題，有機會被惡意軟體攻擊，不過蘋果很快就修復。

• ‘Sign in with Apple’ flaw let attackers take over accounts

（本文由 Unwire HK 授權轉載；首圖來源：pixabay）

延伸閱讀：

• 幫忙找系統漏洞，企業對白帽駭客祭天價獎勵金
• 安全加分，Google 產品總監讚賞蘋果 iOS 13 的登入整合機制
• 蘋果 AirDrop 功能或隱藏安全漏洞，可取得 iPhone 電話號碼、Apple ID