Apple thưởng 100 ngàn USD cho người phát hiện lỗi bảo mật ‘Đăng nhập bằng Apple’

01/06/2020 20:30
Apple thưởng 100 ngàn USD cho người phát hiện lỗi bảo mật ‘Đăng nhập bằng Apple’

Apple đã trả cho nhà nghiên cứu bảo mật người Ấn Độ Bhavuk Jain một khoản tiền thưởng trị giá 100.000 USD vì được báo cáo về một lỗ hổng nghiêm trọng trong tính năng "Sign in with Apple"

         Lỗi 'Đăng nhập bằng Apple' có thể khiến kẻ tấn công chiếm đoạt tài khoản của bất kỳ ai - Ảnh: Apple  

Tính năng “Đăng nhập bằng Apple” (Sign in with Apple) được ra mắt vào tại sự kiện Apple Worldwide Developers Conference vào tháng 6.2019. Với tính năng này, người dùng Apple có thể đăng nhập vào các trang web và ứng dụng của bên thứ 3 bằng ID Apple một cách nhanh chóng và dễ dàng. Theo tuyên bố của Apple, việc đăng nhập bằng Apple ID sẽ bảo vệ quyền riêng tư của người dùng bằng cách không tiết lộ địa chỉ email thực tế của họ cho các dịch vụ của bên thứ 3.

Tuy nhiên mới đây, nhà nghiên cứu bảo mật người Ấn Độ Bhavuk Jain đã phát hiện ra một lỗi rất nghiêm trọng trong tính năng Sign in with Apple. Lỗ hổng (mà ông Bhavuk tìm ra) cho phép kẻ xấu, hacker vượt qua hệ thống xác thực của Apple. Bằng cách đó, tin tặc có thể chiếm quyền kiểm soát tài khoản của nạn nhân trên ứng dụng và dịch vụ của bên thứ 3 sử dụng phương thức đăng nhập "Sign in with Apple".

Apple ra mắt tính năng Đăng nhập bằng Apple ID tập trung vào quyền riêng tư tại WWDC 2019

Trong cuộc phỏng vấn của The Hacker News, nhà nghiên cứu Bhavuk Jain cho biết lỗ hổng này xuất phát từ cách hoạt động của Sign in with Apple. Khi người dùng sử dụng Sign in with Apple, máy chủ của Apple sẽ tạo ra một đoạn mã JSON Web Token (JWT) chứa các thông tin bí mật, định danh người dùng. JWT sẽ được ứng dụng và dịch vụ của bên thứ 3 sử dụng để xác thực danh tính của người dùng đăng nhập.

Bhavuk cho biết Apple yêu cầu người dùng đăng nhập lại vào Apple ID mỗi khi sử dụng "Sign in with Apple". Chỉ khi đăng nhập đúng thông tin tài khoản, máy chủ của Apple mới cấp mã JWT. Tuy nhiên, nếu người dùng tiếp tục yêu cầu cấp JWT sau khi vừa nhận một JWT, hệ thống của Apple sẽ bỏ qua yêu cầu đăng nhập.

Điều này tạo ra một lỗ hổng cho phép hacker lợi dụng để chiếm quyền kiểm soát tài khoản của người dùng. Bằng cách đánh lừa hệ thống của Apple, hacker có thể lấy được JWT hợp lệ để đăng nhập vào tài khoản của người dùng trên các ứng dụng và dịch vụ của bên thứ 3

Nhà nghiên cứu bảo mật người Ấn Độ cho biết rằng lỗ hổng này vẫn có thể gây tác động ngay cả khi người dùng chọn ẩn email với ứng dụng và dịch vụ của bên thứ 3. Với mã JWT được cấp, kẻ xấu cũng có thể đăng ký tài khoản mới trên các dịch vụ/ứng dụng bằng Apple ID của người dùng.

"Lỗ hổng này có nguy cơ gây thiệt hại lớn cho người dùng bởi nó cho phép kẻ xấu kiểm soát toàn bộ tài khoản của người dùng. Trong khi đó, nhiều người dùng, đặc biệt là các nhà phát triển phần mềm đang có xu hướng sử dụng "Sign in with Apple" cho mọi ứng dụng quan trọng của họ như Dropbox, Spotify, Airbnb...", Bhavuk nói.

Sau khi nhận báo cáo của Bhavuk Jain, Apple đã lập tức cho vá lỗi bảo mật nghiêm trọng này. Bên cạnh việc trả thưởng cho Bhavuk Jain, Apple cũng đã mở một cuộc điều tra nhật ký máy chủ để xem có cuộc xâm nhập bất hợp pháp nào vào tài khoản của người dùng hay chưa. Rất may là lỗ hổng này chưa bị tin tặc khai thác.

Thời gian vừa qua Apple đã vật lộn với hàng loạt vấn đề bảo mật, bao gồm phát hiện về lỗ hổng mail trước đó. Dù những lỗi này ngay sau đó được Apple vá lại rất nhanh, nhưng người dùng sản phẩm của hãng công nghệ nổi tiếng này tiếp tục lo ngại rằng liệu có một lỗi bảo mật nào lại được phát hiện trong tương lai nữa không.

Tiểu Vũ


Gửi bình luận
(0) Bình luận
1

Admin nhóm 830.000 thành viên chê Bphone B86 chụp ảnh tệ, nóng, lag, chỉ đáng 3 triệu!

Bphone B86 có lẽ không tốt như những gì CEO Nguyễn Tử Quảng và các trang mạng quảng cáo.
2

Tại sao nhóm hacker Anonymous kêu gọi người dùng xóa TikTok?

Không giống với những mạng xã hội khác, hành vi thu thập dữ liệu người dùng của TikTok vượt xa sự tưởng tượng của các kỹ sư phần mềm, không khác gì một malware gián điệp.
3

Hàng loạt smartphone Samsung Galaxy mắc lỗi màn hình ám xanh sau Galaxy S20 Ultra

Sau Galaxy S20 Ultra, đến lượt một số smartphone Galaxy Note 8, Galaxy Note 9, Galaxy S9 series, Galaxy S10 Lite và Galaxy Note 10 Lite mắc lỗi màn hình ám xanh khi người dùng cập nhật firmware mới nhất.
4

47 game nên gỡ ngay vì chứa trojan nguy hiểm quấy rối người dùng

Theo Công ty bảo mật Avast (Cộng hoà Séc), một trojan nguy hiểm được phát hiện trong các game phổ biến dành cho smartphone chạy hệ điều hành Android, liên tục hiển thị quảng cáo quấy rầy người dùng.
5

Apple sản xuất iPhone hai màn hình có thể gập như Microsoft Surface Duo

Trong bài đăng trên Twiter, Jon Prosser úp mở về chiếc iPhone có thể gập nhưng hơi khác Samsung Galaxy Fold và sử dụng thiết kế từ iPhone 11.

Rộ tin iPhone 13 có hai camera 64 megapixel và hai camera 40 megapixel

Bộ bốn iPhone 12 cuối năm nay mới ra mắt nhưng Fudge, người thạo tin các sản phẩm Apple, đã hé lộ thông tin về cải tiến của camera trên iPhone 13.

10 smartphone bán chạy nhất quý 1/2020: iPhone 11 bất ngờ dẫn đầu

Có lẽ nhiều tín đồ công nghệ bất ngờ khi biết iPhone 11 là smartphone bán chạy nhất quý 1 năm 2020 với 19,5 triệu máy.

Lỗ hổng nghiêm trọng trên Android đe dọa an toàn thông tin người dùng

Các chuyên gia của hãng nghiên cứu bảo mật Promon (Na Uy) vừa phát hiện một lỗ hổng bảo mật nghiêm trọng có tên gọi StrandHogg 2.0. Nó cho phép các ứng dụng độc hại ngụy trang thành các ứng dụng hợp pháp để đánh cắp thông tin của người dùng.

Xuất hiện công cụ bẻ khóa được mọi phiên bản iPhone của Apple

Một nhóm hack iPhone nổi tiếng đã phát hành một công cụ bẻ khóa mới, mở khóa mọi iPhone, ngay cả những mẫu iPhone gần đây chạy phiên bản iOS 13.5 mới nhất.

Galaxy Note 20+ lộ thiết kế tuyệt đẹp, nâng cấp cụm camera mặt sau

Dự kiến trình làng vào tháng 8 tới, Galaxy Note 20 và Note 20+ là hai smartphone được mong đợi nhất năm nay cùng với bộ bốn iPhone 12. Người thạo tin về sản phẩm Samsung, Steve Hemmerstoffer vừa tiết lộ thiết kế tuyệt đẹp và thông số kỹ thuật đáng chú ý về Galaxy Note 20+.

So sánh camera Vsmart Active 3: Vượt trội ở cả thông số và chất ảnh

Bên cạnh phần cứng camera, cách xử lý bức ảnh bằng phần mềm đem lại chất lượng ảnh đặc trưng của Vsmart Active 3.

10 game và 5 ứng dụng Android tính phí đang miễn phí: Tiết kiệm vài chục USD

Để tăng lượng người dùng, nhiều nhà sản xuất đang cho phép cài đặt các ứng dụng và game tính phí của họ mà không phải trả tiền. Thời gian khuyến mãi diễn ra từ 1 ngày đến không xác định tùy ứng dụng hay game nên bạn cần nhanh tay cài đặt.

Galaxy A Quantum - smartphone đầu tiên có công nghệ mã hóa lượng tử ra mắt

Nhà mạng SK Telecom và tập đoàn Samsung Electronics vừa trình làng Galaxy A Quantum - smartphone đầu tiên trên thế giới có giải pháp lượng tử để tăng tính bảo mật.

Cảnh báo mã độc tống tiền nhắm vào người dùng macOS

Công nghệ - 06/07/2020 15:30
Công ty cổ phần An ninh mạng Việt Nam VSEC cảnh báo về một loại mã độc tống tiền mới, được phát hiện trên hệ điều hành macOS. Mã độc này có khả năng chiếm quyền điều khiển máy tính nạn nhân, mã hóa toàn bộ tệp tin quan trọng và gửi đến một thông điệp tống tiền nếu muốn khôi phục dữ liệu.

Sau 2 tàu sân bay, Mỹ điều máy bay B52 tiến vào Biển Đông cảnh báo Trung Quốc

Thế giới - 06/07/2020 15:00
Lần đầu tiên sau 6 năm, hai tàu sân bay của Hải quân Mỹ xuất hiện đồng thời ở Biển Đông. Giới chuyên gia cho rằng đây là động thái thể hiện sức mạnh quân sự mới nhất của Washington nhằm chống lại yêu sách của Trung Quốc tại khu vực.

Một thành phố Trung Quốc ban hành cảnh báo dịch hạch

Thế giới - 06/07/2020 14:30
Giới chức thành phố Bayan Nur (thuộc khu tự trị Nội Mông) ngày 5.7 ban hành cảnh báo dịch hạnh cấp 3 – cấp thấp thứ hai trong hệ thống 4 cấp.

Tài tử Nick Cordero qua đời ở tuổi 41 do nhiễm COVID-19

Giải trí - 06/07/2020 14:00
Sau một khoảng thời gian dài chống chọi với những biến chứng do COVID-19 gây ra, vợ của nam diễn viên Nick Cordero thông báo anh đã qua đời ở tuổi 41.

Cách làm phẳng quần áo không cần bàn ủi

Kỹ năng - 06/07/2020 12:30
Mỗi lần cho quần áo vào máy hay việc giặt tay luôn làm quần áo bị bạn bị nhau nhúm lại, làm cách nào để có thể giặt mà quần áo vẫn phẳng phiu.

Nỗi niềm ‘tỉ phú sầu riêng’ sau mùa hạn mặn

Doanh nghiệp - 06/07/2020 12:00
Không riêng tui mà nhiều nhà vườn sau khi đốn hạ vườn sầu riêng bị chết sẽ tiếp tục trồng lại loại cây cho thu nhập tiền tỉ này, không bỏ được”, ông Chín nói.

'Phượt thủ' Trần Đặng Đăng Khoa: 1111 ngày vòng quanh thế giới bằng xe máy

Giới trẻ - 06/07/2020 11:30
Ngày 1/6/2017, xuất phát từ cửa khẩu Mộc Bài, Tây Ninh, người Việt đầu tiên đi vòng quanh thế giới bằng xe máy - Trần Đặng Đăng Khoa vô cùng háo hức về chuyến đi đầy thử thách sắp tới của mình. Ngày 16/6/2020, sau 1111 ngày xa quê hương, anh đã đặt chân trở về nhà và mang theo những câu chuyện về một hành trình kỳ lạ và đầy cảm hứng.

Google Chrome thêm tính năng mới giúp kéo dài thời lượng pin đáng kể

Máy tính - 06/07/2020 11:30
Nhờ việc điều chỉnh bộ đếm thời gian JavaScript (JavaScript timer), các thẻ Google Chrome sẽ không ngốn quá nhiều năng lượng pin khi được mở chế độ nền.

ĐTDĐ cùng dược phẩm là ‘nạn nhân’ tiếp theo trong cuộc đối đầu Trung - Ấn

Thế giới - 06/07/2020 11:00
Điện thoại di động cùng dược phẩm có thể trở thành mục tiêu khi Trung Quốc và Ấn Độ đáp trả thương mại lẫn nhau thời gian tới.

Việt Nam còn 11 bệnh nhân, thế giới đã mất 536.323 người do COVID-19

Thời sự - 06/07/2020 10:30
Ban chỉ đạo Quốc gia Phòng chống dịch COVID-19 cho biết, đã 81 ngày không có ca lây nhiễm trong cộng đồng, Việt Nam chữa khỏi gần 96% ca mắc COVID-19, hiện chỉ còn 11 bệnh nhân dương tính với virus gây COVID-19.

Clip chuẩn bị vồ mồi, bọ ngựa bất ngờ trở thành thức ăn của tắc kè hoa

Video - 06/07/2020 10:00
Hình ảnh được ghi lại tại một vùng rừng nhiệt đới cho thấy một con bọ ngựa đang đi kiếm ăn đã bắt gặp bọ cánh cứng. Trong lúc tập trung vào con mồi, bọ ngựa không hề hay biết nó đã lọt vào tầm ngắm của tắc kè hoa.

Ngôi sao nào có thói quen làm đẹp 'khác người'?

Giải trí - 06/07/2020 09:30
Dù chúng ta thường ngưỡng mộ các ngôi sao trên thế giới khi họ là những tấm gương trong lĩnh vực làm đẹp và thời trang, nhưng một số người trong số họ có một số thói quen không lành mạnh.

Trung Quốc đổi tên ‘Viện Khổng Tử’

Thế giới - 06/07/2020 09:00
Trong bối cảnh vấp phải làn sóng phản đối khắp thế giới với các cáo buộc gián điệp, Bộ Giáo dục Trung Quốc đã từ bỏ thương hiệu Viện Khổng Tử, đổi tên thành “Trung tâm Hợp tác và giáo dục ngôn ngữ”.

Minh đạo nhân sinh - Tinh hoa cổ học Trung Hoa dưới góc nhìn giáo sư Đại học Harvard

Sách - 06/07/2020 08:30
Tư tưởng phổ quát của “Minh đạo nhân sinh” cũng chính là “Đạo”: “Đừng tìm kiếm bạn là ai, chứ chưa nói đến việc nắm lấy những gì bạn tìm thấy. Thay vì lựa chọn cách chấp nhận bản thân, hãy chọn cách tu dưỡng mình.

7 giới hạn không được phép vượt qua để tránh tai họa khôn lường

Giới trẻ - 06/07/2020 08:00
Hãy xem trong 7 giới hạn sau đây, đã bao giờ bạn đã vượt qua giới hạn nào hay chưa.
HẠT GIỐNG TÂM HỒN
2018 Bản quyền thuộc về hatgiongtamhon.vn. Phát triển bởi ONECMS
Thứ 2, 06/07/2020