Login Lewat 'Sign in with Apple' Rentan, Hacker Bisa Ambil Alih Akun
Login Lewat 'Sign in with Apple' Rentan, Hacker Bisa Ambil Alih Akun
Untuk masuk ke aplikasi baru atau website yang butuh login, biasanya kita bisa dengan mudah login menggunakan Google atau Apple dengan tombol yang telah disediakan.
Namun permasalahannya, tombol 'Sign in with Apple' mengandung kerentanan keamanan serius. Melansir laporan dari Hacker News via Engadget, seorang peneliti keamanan bernama Bhavuk Jain baru saja menerima hadiah uang 100.000 Dollar karena menemukan bug di fitur tersebut.
Bug tersebut berupa kesalahan dalam layanan fitur ketika akun masuk lewat aplikasi pihak ketikga. Jika aplikasi tidak memiliki perlindungan keamanan, hacker bisa dengan mudah memalsukan token yang ditautkan ke ID email, dan memverifikasikanya dengan 'valid' menggunakan public key Apple.
Hal ini bisa memungkinkan hacker mengambil alih akun secara penuh. Bahkan, hal ini bisa terjadi ketika email disebunyikan dari layanan lain.
Jain sendiri menemukan kesalahan ini pada bulan April lalu, dan Apple telah memperbaikinya. Apple sendiri mengklim bahwa meski ini adalah kerentanan serius, tidak ada bukti akun yang benar-benar diretas lewat cara ini.
Apple sendiri sebelumnya diungkap kerentanannya di aplikasi Apple Mail, namun seperti kasus ini, kasus tersebut berhasil ditangani dengan cepat.
(mdk/idc)