OpenID Foundation: Tính năng Sign in with Apple chứa lỗ hổng bảo mật

Tại sự kiện WWDC 2019, Apple đã nhận được rất nhiều lời khen ngợi khi chuyển quyền riêng tư từ tính năng bổ sung sang dịch vụ. Bằng chứng lớn nhất về điều đó là Sign in with Apple nhằm tối ưu hóa khả năng đăng nhập tài khoản trên các ứng dụng iOS và macOS.

Theo SlashGear, Sign in with Apple sử dụng một phiên bản của OpenID Connect để có thể đăng nhập an toàn. Nhưng theo OpenID Foundation, việc triển khai của nó có thể khiến người dùng bị xâm nhập trước các cuộc tấn công mạng.

Sign in with Apple 1

OpenID Connect được mô tả là một giao thức nhận dạng áp dụng rộng rãi trên nền tảng OAuth 2.0, cho phép đăng nhập của bên thứ ba vào các ứng dụng. Nền tảng sử dụng nó bao gồm các ứng dụng như Google, Microsoft, PayPal, Facebook và Twitter. Đáng chú ý là không có Apple.

Trong một bức thư ngỏ tới Apple SVP về Kỹ thuật phần mềm Craig Federighi, OpenID Foundation trước tiên đã hoan nghênh công ty dùng OpenID Connect để cho phép đăng nhập dịch vụ bên thứ ba với Apple ID của họ. Tuy nhiên, họ cho rằng Apple chỉ chọn sử dụng một số phần nhất định của đặc điểm kỹ thuật thay vì toàn bộ nó. Và theo Foundation, đó có thể là lý do khiến người dùng sở hữu Apple ID có thể bị tấn công.

Tuy nhiên, một số người thì cho rằng động cơ của OpenID Foundation chỉ đơn giản muốn Apple áp dụng thông số kỹ thuật đầy đủ của OpenID Connect, và có thể khiến Apple đăng ký làm thành viên. Họ cũng muốn Apple quảng cáo rằng Sign in with Apple tương thích với các đối tác OpenID Connect khác. Đây có lẽ không phải là điều Apple muốn làm.

Sign in with Apple cung cấp cho người dùng Apple một cách thuận tiện để đăng nhập vào các ứng dụng giống như họ có thể với tài khoản Google và Facebook, nhưng được kiểm tra chặt chẽ quyền riêng tư. Khi được triển khai, tất cả các ứng dụng cung cấp thông tin đăng nhập của bên thứ ba cũng được yêu cầu cung cấp nút Sign in with Apple. Thử nghiệm bắt đầu vào mùa hè này trên bản cập nhật iOS 13 chính thức ra mắt vào mùa thu này.

Theo: Slashgear

Leave a Comment

%d bloggers like this: