大型科技公司如Apple和Google等,一直都有推出“赏金猎人”计划,目的是吸引用户和专家找出产品的安全漏洞,假如属于严重漏洞,发现者可以获得巨额奖金。日前外媒报道指,一名印度的安全研究员取得了Apple的10万美元(约77.5万港元)的奖金。
这位名叫Bhavuk Jain的安全研究员,早前向Apple举报“Sign in with Apple”的严重安全漏洞。在没有额外安全措施的第三方程式使用Sign in with Apple登录,攻击者可以任何电邮地址去伪冒令牌,然后以Apple的公钥进行认证为有效。就算用户选择将电邮地址隐藏,其Apple账号仍然有机会被完全盗取。
Jain在4月发现此严重漏洞,现在Apple已经将之修复。Apple表示现在未有证据,任何账号因此漏洞而被盗用。这是近期Apple的第二宗安全漏洞,今年4月iPhone和iPad的电邮程序也出现问题,有机会受到恶意软件的攻击,不过Apple也很快完成修复。
来源:engadget