Mới đây, một hacker 27 tuổi đến từ Delhi, Ấn Độ tên Bhavuk Jain đã tìm ra một lỗ hổng zero-day liên quan đến tính năng đăng nhập bảo mật Sign in with Apple và đã thông báo cho Apple. Sau đó, nhà Táo Khuyết đã quyết định bỏ ra 100.000 USD (tương đương với 2 tỷ) để thưởng cho người đã phát hiện ra lỗ hổng bảo mật này.
Apple thưởng 100.000 USD cho người phát hiện ra lỗ hổng Sign in with Apple
Khi Apple giới thiệu “Sign in with Apple” tại hội nghị WWDC 2019, công ty gọi đây là “cách riêng tư hơn để đăng nhập vào ứng dụng hay website đơn giản, nhanh chóng”. Ý tưởng của Apple là thay thế cách đăng nhập truyền thống bằng hệ thống xác thực an toàn cùng lời cam kết không ghi lại hoạt động của ứng dụng hay người dùng.
Một trong các điểm thu được nhiều chú ý chính là khả năng đăng ký ứng dụng hay website bên thứ ba mà không cần tiết lộ địa chỉ email Apple ID. Vì vậy, nó được xem là riêng tư hơn so với dùng tài khoản Google, Facebook.
Tuy nhiên, tháng 4/ 2020, Bhavuk Jain, một chuyên gia bảo mật đến từ Delhi, đã phát hiện lỗ hổng trong tính năng Sign in with Apple, cho phép tin tặc chiếm quyền tài khoản chỉ bằng email ID. Lỗ hổng nghiêm trọng tới mức Apple đã trả cho người này 100.000 USD (hơn 2 tỷ đồng).
Bhavuk Jain công bố về lỗ hổng vào ngày 30/5
Sau khi Apple vá lỗi, Bhavuk Jain công bố về lỗ hổng vào ngày 30/5. Theo chuyên gia, lỗ hổng cho phép kích hoạt thay đổi trong tài khoản người dùng của ứng dụng, bất kể người đó dùng Apple ID thật hay không.
Theo Jain, Sign in with Apple hoạt động tương tự như Oauth 2.0. Có hai cách để xác nhận người dùng đăng nhập:
- Một là: Dùng JWT (JSON Web Token) hoặc một đoạn code gửi về từ máy chủ của Apple.
- Hai là: Khi xác nhận tài khoản, Apple sẽ cho người dùng tùy chọn chia sẻ ID Apple email với ứng dụng bên thứ ba.
Nếu người dùng quyết định không cho bên thứ ba biết địa chỉ Apple Email, Apple sẽ tự tạo ra Email ID Private relay tạm thời gán cho tài khoản đó.
Nếu lỗi Sign in with Apple không được phát hiện kịp thời sẽ gây ảnh hưởng như thế nào?
Do Apple yêu cầu tích hợp Sign in with Apple trong nhiều ứng dụng, về mặt lý thuyết, lỗi nếu bị khai thác sẽ có tác động rất rộng. Điều tra của nhóm bảo mật Apple cho thấy trên thực tế, lỗ hổng chưa được dùng trong một cuộc tấn công nào.
Ngoài ra, Bhavuk Jain cho biết, tác động của lỗ hổng này tương đối nghiêm trọng vì như đã nói, nó có thể giúp hacker chiếm hoàn toàn quyền kiểm soát một tài khoản Apple.
Như vậy, với mức thưởng 100.000 USD là khoản tiền khá hợp lý đối với người tìm ra nó bởi nếu lỗ hổng Sign in with Apple được khai thác sẽ gây ra hàng loạt thiệt hại lớn cho Apple nhất là vấn đề bảo mật. Hy vọng Apple sẽ sớm khắc phục được vấn đề này.
