大型科技公司如 Apple 和 Google 等,一直都有推出「賞金獵人」計劃,目的是吸引用戶和專家找出產品的保安漏洞,假如屬於嚴重漏洞,發現者可以獲得巨額獎金。日前外國傳媒報導指,一名印度的保安研究員取得了 Apple 的 10 萬美元(約 77.5 萬港元)的獎金。
這位名叫 Bhavuk Jain 的保安研究員,早前向 Apple 舉報「Sign in with Apple」的嚴重保安漏洞。在沒有額外保安措施的第三方程式使用 Sign in with Apple 登入,攻擊者可以任何電郵地址去偽冒令牌,然後以 Apple 的公鑰進行認證為有效。就算用戶選擇將電郵地址隱藏,其 Apple 帳號仍然有機會被完全盜取。
Jain 在 4 月發現此嚴重漏洞,現時 Apple 已經將之修復。Apple 表示現時未有證據,任何帳號因此漏洞而被盜用。這是近期 Apple 的第二宗保安漏洞,今年 4 月 iPhone 和 iPad 的電郵程式亦出現問題,有機會受到惡意軟件的攻擊,不過 Apple 亦很快完成修復。
來源:engadget
相關文章:
【評測】iPad Air M3 2025 實試 Apple Intelligence + 打機光追對比上代 【教學】iOS 18 iPhone 續航力終極延長大法 16 個實用技巧大幅提升手機續航力 【教學】不想在 Mac 顯示 iPhone 通知? 兩個簡單設定方法保障私隱 + 增強專注力
