「Appleでサインイン」脆弱性の発見者に報奨金10万ドル。アカウント乗っ取りを未然に防止

一攫千金

Munenori Taniguchi
Munenori Taniguchi, @mu_taniguchi
2020年06月3日, 午後 06:50 in security
0シェア
FacebookTwitter
Engadget

2019年のWWDCで発表されたサードパーティ認証機能”Appleでサインイン(Sign In with Apple)”に脆弱性がみつかりました。これを報告したアプリ開発者は、なんと10万ドル(約1090万円)もの報奨金をアップルから受け取ったことを明らかにしています。

4月に発見されたこのゼロデイ脆弱性は、有効な否かに関わらずApple ID(メールアドレス)を使用して”Appleでサインイン”のログイン処理を開始すれば、条件によって認証を得ることができ、さらにこの認証を利用するサードパーティ製アプリやウェブサイトを完全に乗っ取れる可能性があると説明されます。

「任意のEメールを使用してトークンを要求することができ、このトークンの署名をAppleの公開鍵で検証したところ、有効であることがわかりました」とJain氏は述べています。

Jain氏はこの脆弱性を4月にAppleに報告したところ、10万ドル(約1090万円)もの多額の報奨金を支給されたと明かしています。その金額はいかにその脆弱性が簡単に悪用でき、おおきな被害をもたらす可能性があったことを意味しています。Appleは、この6月末までにあらゆるiOS用アプリを”Appleでサインイン”に対応させるよう開発者に求めていました。

脆弱性はもちろん、すぐに調査・修正され、いまは解消しています。また幸いにもこの脆弱性が悪用された形跡もないとのことです。

source :Bhavuk Jain(blog)

 
 

4眼仕様のAI活用カメラでさらに美麗な写りになった「HUAWEI P40 Pro 5G」

Sponsored by ファーウェイ ジャパン

 

TechCrunch 注目記事「新型コロナのソーシャルディスタンス(社会的距離戦略)を強力に支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]
関連キーワード: security, apple, SignInwidhApple, login, password, privacy, sign-in, news, gear
0シェア
FacebookTwitter

Sponsored Contents