OpenID “bóc phốt” tính năng "Sign In with Apple": Đầy những lỗ hổng bảo mật

VietTimes – Phải chăng Sign In with Apple không an toàn như chúng ta tưởng?
Sign In with Apple được "Táo khuyết" giới thiệu lần đầu tại WWDC19. Ảnh: TechCrunch
Sign In with Apple được "Táo khuyết" giới thiệu lần đầu tại WWDC19. Ảnh: TechCrunch

Tính năng Sign In with Apple (đăng nhập bằng tài khoản Apple) được Apple quảng cáo như phương thức đăng nhập an toàn hơn các dịch vụ tương tự của Facebook, Google hay Twitter bởi quy trình xác thực qua FaceID hoặc TouchID. Đồng thời, Sign In with Apple ngăn các nhà phát triển ứng dụng và trang web tiếp cận thông tin cá nhân của người dùng.

Tuy nhiên, Open ID Foundaton (OIDF), tổ chức phi lợi nhuận đa thành viên bao gồm Google, Microsoft, Paypal đã đặt ra nghi vấn về tính năng mới này.

Trong bức thư ngỏ gửi Giám đốc phần mềm Apple Craig Federighi, OpenID đã ca ngợi tính năng xác thực của Apple vì đã sử dụng “OpenID Connect”. Đây là giao thức được tiêu chuẩn hóa đang được sử dụng bởi nhiều nền tảng đăng nhập khác nhau, cho phép các nhà phát triển xác thực người dùng trên trang web và ứng dụng mà không cần sử dụng mật khẩu riêng.

Tuy nhiên, những điểm khác biệt giữa OpenID Connect và Sign In with Apple có khả năng gây nguy hiểm cho dữ liệu riêng tư của người dùng.

Open ID cho rằng Sign In with Apple làm hạn chế phạm vi sử dụng của người dùng và tiềm ẩn đầy những rủi ro bảo mật. Ngoài ra, tiêu chuẩn mới xác thực mới đặt ra gánh nặng cho các nhà phát triển của cả OpenID Connect và Sign In with Apple.

Ảnh minh họa: TechCrunch
Ảnh minh họa: TechCrunch

Để khắc phục tình trạng này, tổ chức yêu cầu Apple phải giải quyết nững điểm khác biệt giữa Apple và OpenID Connect, đã được ghi nhận trong tài liệu của OIDF để thiết bị Apple tương tác tốt hơn với phần mềm OpenID Connect Relying Party.

Ngoài ra, tổ chức cũng mời “nhà Táo” sử dụng bộ kiểm tra chứng nhận của OpenID để cải thiện khả năng thương thích giữa 2 nền tảng, công khai khả năng tương thích của Sign In with Apple và tham gia quỹ OpenID.

Được biết, ngay sau khi giới thiệu tính năng xác thực mới này, Apple tuyên bố các nhà phát triển ứng dụng trên cửa hàng App Store buộc phải cung cấp thêm Sign In with Apple, bên cạnh tùy chọn đăng nhập của đối thủ bên thứ 3 như Facebook hay Google.

Theo MacRumors