Anda tak perlu risau kerana ia sudahpun ditampal oleh pihak Apple, namun anda perlu ketahui bagaimanakah kerentanan ini boleh dieksploitasi. Seorang penganalisis keselamatan telah mengesan kerentanan pada fungsi Sign in With Apple, khususnya pada cara proses pengesahan identiti pengguna semasa melog masuk menggunakan fungsi itu di perkhidmatan pihak ketiga.
Kerentanan itu hadir semasa pengguna ingin mencetuskan log masuk menggunakan Sign in With Apple. Walaupun sistem mengarahkan pengguna melog masuk akaun Apple mereka, ia tidak melakukan sebarang pengesahan identiti semasa memohon JSON Web Token (JWT), sebelum pergi ke proses seterusnya.
Ketiadaan pengesahan tersebut membolehkan hacker mengeksploitasinya dengan cara memintas proses tersebut dan membekalkan akaun Apple palsu untuk melog masuk perkhidmatan pihak ketiga, seperti media sosial dan sebagainya. Hasilnya, hacker beroleh akses terhadap akaun pihak ketiga tersebut dan mampu mengawalnya seperti pemilik akaun asal.
Apple telahpun membayar ganjaran USD100 ribu kepada pelapor kerentanan tersebut yang menunjukkan ia sesuatu kerentanan yang serius.
