Phát hiện lỗ hổng bảo mật trong Sign in with Apple, hacker Ấn Độ được thưởng 100 nghìn USD

Buzz

Ngày cập nhật gần nhất: 15/4/2026

Đọc tóm tắt

- Bhavuk Jain, hacker 27 tuổi từ Delhi, phát hiện lỗ hổng zero-day liên quan đến tính năng Sign in with Apple.
- Lỗ hổng cho phép hacker đánh cắp thông tin tài khoản người dùng thông qua việc đăng nhập vào ứng dụng bằng Sign in with Apple.
- Jain nhận 100.000 USD từ Apple và chia sẻ về cách hoạt động của lỗ hổng.
- Apple cho phép chia sẻ Email ID và tạo token JWT cho việc đăng nhập.
- Jain phát hiện hacker có thể yêu cầu token JWT cho bất kỳ Email ID nào của Apple.
- Lỗ hổng có tác động nghiêm trọng, có thể chiếm quyền kiểm soát tài khoản Apple của người dùng.

Bhavuk Jain, một hacker 27 tuổi từ Delhi, Ấn Độ vừa phát hiện và thông báo cho Apple một lỗ hổng zero-day liên quan đến tính năng đăng nhập bảo mật Sign in with Apple trên các thiết bị của hãng này, cho phép hacker có thể đánh cắp thông tin tài khoản của người dùng thông qua việc đăng nhập vào các ứng dụng hoặc dịch vụ trực tuyến bằng Sign in with Apple. Jain đã nhận phần thưởng là 100.000 USD từ Apple. Tuy nhiên, anh vẫn chia sẻ về cách hoạt động của lỗ hổng này.

Khi xác nhận tài khoản, Apple cho phép người dùng chia sẻ ID Apple email với ứng dụng bên thứ ba. Nếu người dùng từ chối chia sẻ, Apple sẽ tự tạo ra Email ID private relay tạm thời. Sau khi xác nhận tài khoản, Apple tạo ra một token JWT chứa Email ID để các ứng dụng và trang web bên thứ ba đăng nhập. Dưới đây là một ví dụ về JWT từ Apple:

Đã phát hiện lỗ hổng bảo mật. Jain nhận ra anh có thể yêu cầu token JWT cho bất kỳ Email ID nào của Apple. Khi chữ ký của những token này được Apple xác nhận, chúng sẽ được coi là token chính chủ cho phép đăng nhập dịch vụ. Điều này có nghĩa là, hacker có thể làm giả một token JWT bằng bất kỳ Apple Email ID nào để chiếm quyền kiểm soát tài khoản Apple của một người dùng nào đó.

Lỗ hổng này có tác động nghiêm trọng vì có thể giúp hacker chiếm hoàn toàn quyền kiểm soát một tài khoản Apple. Apple đã điều tra nhưng chưa phát hiện ra vụ việc nào nơi lỗ hổng này bị lợi dụng.

Theo Bhavuk Jain

Các câu hỏi thường gặp

Lỗ hổng bảo mật Sign in with Apple có thể gây ra những nguy hiểm gì cho người dùng?

Lỗ hổng bảo mật này có thể giúp hacker chiếm hoàn toàn quyền kiểm soát tài khoản Apple của người dùng, dẫn đến việc đánh cắp thông tin cá nhân và quyền truy cập vào các dịch vụ trực tuyến.

Bhavuk Jain đã phát hiện ra lỗ hổng này như thế nào và phần thưởng là gì?

Bhavuk Jain, một hacker 27 tuổi, đã phát hiện ra lỗ hổng zero-day và thông báo cho Apple, nhận phần thưởng 100.000 USD cho phát hiện của mình, giúp tăng cường bảo mật cho người dùng.

Người dùng có thể làm gì để bảo vệ tài khoản Apple của mình trước lỗ hổng này?

Người dùng nên kiểm tra và thay đổi mật khẩu của mình, sử dụng xác thực hai yếu tố, và hạn chế chia sẻ thông tin cá nhân qua các ứng dụng bên thứ ba để bảo vệ tài khoản khỏi nguy cơ bị chiếm đoạt.

Có những cách nào để Apple cải thiện bảo mật cho tính năng Sign in with Apple?

Apple có thể cải thiện bảo mật bằng cách kiểm soát chặt chẽ hơn quá trình xác thực token JWT và thiết lập các biện pháp ngăn chặn giả mạo, cùng với việc thường xuyên kiểm tra bảo mật hệ thống.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]