あのAppleが「Appleでサインイン」の脆弱性を発見したら報奨金10万ドルが研究者に贈られるとの発表をしました。「Appleでサインイン」の乗っ取り可能な脆弱性の詳細や報奨金10万ドルを受け取った研究者について見ていきたいと思います。
Appleは「Appleでサインイン」の脆弱性を発見をしたら報奨金10万ドルを研究者に贈ることを報告しています。「Appleでサインイン」の脆弱性はこれまで、いくつも脆弱性が見つかっており、その度に修正アップデートをAppleは行っていました。
そこで、そういった問題を回避できないかと一つの提案が今回の報奨金10万ドルを研究者に支払うことだったのです。この危険な脆弱性を研究者は、自分自身で発見しこれをAppleに直接報告をしましたら、10万ドルが贈られたの情報が最近入っています。
今回の「Appleでサインイン」の脆弱性を発見した研究者は、外部プログラマーBhavuk Jain氏だったと言われています。10万ドル(約1090万円)報奨金が支払われた研究者のJain氏は、自身のツイートにて、Appleに報奨金が支払われたと投稿をしています。
また、外部プログラマーBhavuk Jain氏は、今回のバグは 「Appleでサインイン」を利用したユーザーをAppleが検証する箇所に問題が発生していたと言っています。
外部プログラマーBhavuk Jain氏は、「Appleでサインイン」の脆弱性についてアカウントが乗っ取りが可能であったと明記をしています。
今回の脆弱性の内容として、利用ユーザーのアカウントが害意がある攻撃する業者などに発見されたら、危険なサイトやアプリへ自動的に誘導されてしまい、悪事の発端となる可能性があったと報告をしています。
この脆弱性はアカウント乗っ取り被害とは限らなく、ユーザーのApple IDを悪用して、新規アカウントを作成することができるともBhavuk Jain氏は発言しています。
「Appleでサインイン」の脆弱性があったとは言っても、そもそも「Appleでサインイン」について知らなければなりません。
「Appleでサインイン」は、この機能に対応をしているWebページやアプリであれば、いちいちアカウントを設定を行わなくても、Apple IDを使用してサインインできます。
とは言え、「Appleでサインイン」の機能に対応をしていないサイトなどには使えないので、気を付けて利用することをおすすめします。
今回、脆弱性を発見してAppleに報告をし、10万ドル(約1090万円)報奨金が支払われた研究者のJain氏のように、報奨金があらゆる研究者に渡ることで事前に脆弱性を防ぐことが可能になることが期待できます。
Apple側としては、こういった脆弱性は次々と見つかっているので発見をするのにも一苦労です。研究者が脆弱性を発見してくれた方が、重大な脆弱性を前もって防ぐことができ被害を回避できるので、10万ドル(約1090万円)報奨金も安いものだと思われます。