ថ្មីៗនេះ ក្រុមហ៊ុន Apple បង់ប្រាក់ទៅឱ្យអ្នកស្រាវជ្រាវជនជាតិឥណ្ឌាឈ្មោះថា Bhavuk Jain ចំនួន ១០០,០០០ដុល្លារជាថ្នូដែលគាត់រាយការណ៍អំពីភាពខ្វះចន្លោះរបស់ប្រពន្ធ័ “Sing in with Apple”។ ទោះបីជាក្រុមហ៊ុនចេញ patch នៅថ្ងៃនេះហើយក៏ដោយ តែវានៅតែឱ្យហេគឃរ័អាច ឆ្លងកាត់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (authentication) និងអាចចូលទៅក្នុងគណនីគោលដៅនៅ ពេលដែលអ្នកប្រើ “Sign in with Apple”។ កាលពីឆ្នាំមុននៅសន្និសីទ WWDC របស់ក្រុមហ៊ុន Apple បង្ហាញពីលក្ខណៈរបស់ “Sign in with Apple” ទៅកាន់ពិភពលោកថា ជាប្រព័ន្ធចូលដែលការពារ ភាពឯកជន ដែលអាចឱ្យអ្នកប្រើ sign up គណនីជាមួយនឹងកម្មវិធីភាគីទី ៣ ដោយមិនបង្ហាញអាសយដ្ឋានអ៊ីម៉ែលរបស់អ្នកប្រើប្រាស់ (ដែលប្រើ Apple IDs) នោះទេ។

នៅក្នុងកិច្ចសម្ភាសន៍ជាមួយ Hacker News លោក Bhavuk Jain បង្ហាញថាភាពខ្វៈចន្លោះនោះ គាត់រកឃើញនៅក្នុងដំណាក់កាលនៃការត្រួតពិនិត្យរកភាពត្រឹមត្រូវរបស់អត្តសញ្ញាណអ្នកប្រើប្រាស់នៅលើ client side មុនពេលចាប់ផ្តើមស្នើការផ្ទៀងផ្ទាត់ (authentication) ពី servers របស់ Apple។ ដោយមិនដឹង នៅពេលដែលផ្ទៀងផ្ទាត់អ្នកប្រើឆ្លងកាត់ “Sign in with Apple” ម៉ាស៊ីនមេបង្កើត JSON Web Token (JWT) ដែលមានផ្ទុកព័ត៌មានសង្ងាត់ដែល third party application ប្រើដើម្បី បញ្ជាក់ពីអត្តសញ្ញាណរបស់អ្នកប្រើដែល sign in។ លោក Bhavuk រកឃើញថាទោះបីជា Apple សួរអ្នក log in ចូលទៅក្នុង Apple account មុនពេលចាប់ផ្តើមក៏ដោយ វាមិនត្រួតពិនិត្យថាតើ មនុស្សដដែលហ្នឹងកំពុងតែសើ្ន JSON Web Token (JWT) នៅជំហានបន្ទាប់ពីការផ្ទៀងផ្ទាត់ server របស់វាទេ។

ដូច្នេះ ការខ្វៈខាតនេះអាចបណ្តាលឱ្យហេគឃ័រទាញយក Apple ID និងបង្កើត JWT payload ដែលអាច sign in ជាមួយនឹងអត្តសញ្ញាណរបស់ជនរងគ្រោះ។ គាត់ក៏បន្ថែមទៀតថា គាត់អាចបង្កើត JWTs សម្រាប់ Email ID ពី Apple នៅពេលដែលអត្តសញ្ញាណទាំងនោះត្រូវ ទទួលស្គាល់ការប្រើប្រាស់ថាវាជា Apple’s public key រួចហើយ វាមានន័យថាហេគឃរ័អាចរក្សាទុក JWT ដោយ link ជាមួយ Email ID និងអាចដំណើរការគណនីជនរងគ្រោះហើយ។

ក្រៅពីបង់ប្រាក់ទៅអ្នកដែលរកឃើញភាពខ្វះចន្លោះហើយ ក្រុមហ៊ុននៅបញ្ជាក់ទៀតថា វាកំពុងតែត្រួត ពិនិត្យ server logs របស់ខ្លួន និង ស្វែងរកដំណើរការដែលមិនធ្វើឱ្យប៉ះពាល់ទៅដល់អ្នកប្រើប្រាស់ ថែមទៀត៕