تكافئ Apple عالم كمبيوتر بمبلغ 100.000 دولار لإبلاغه عن خطأ أمني

خطآ امني

لبضعة أسابيع ، لاحظنا أنه في مواقع الويب المختلفة وخدمات الإنترنت التابعة لجهات خارجية ، يمكننا "تسجيل الدخول" باستخدام معرف أبل. الحقيقة أنني في المرة الأولى التي رأيته فيها جعدت أنفي ولم أكن مضحكة للغاية. بالنسبة لهذه الأشياء ، لدي بالفعل حساب Gmail "غير مرغوب فيه" ، حيث لا أهتم إذا تلقيت بريدًا عشوائيًا لأنني لم أنظر إليه مطلقًا.

إذا كان صحيحًا أنه عندما قامت Apple بتثبيت هذا النظام ، فقد تأكدت من أن خدمة الويب التي تستخدمها لا تحصل على بيانات المستخدم أو تسمح لها بإرسال بريد عشوائي. لكنني ، فقط في حالة ، لا أنوي استخدامه. الآن نحن نعلم أنه كان هناك ملف اختراق امني في هذا النظام وقد كافأت الشركة مكتشف الخطأ بشكل جيد للغاية.

ربما سمحت ثغرة أمنية في "تسجيل الدخول باستخدام Apple" للمتسللين بالتحكم الكامل في حسابات المستخدمين التي يتم الوصول إليها من خلال هذا النظام. لحسن الحظ ، تم اكتشاف الخطأ بواسطة الباحث الأمني ​​المقيم في الهند بهافوك جاين.

مكافأة قدرها 100.000،XNUMX دولار أسترالي

في منشور مدونة نُشر خلال عطلة نهاية الأسبوع ، أشار Jain إلى أنه أبلغ شركة Apple بالثغرة الأمنية في أبريل. بسرعة من كوبرتينو تحققوا من الخطأ وتم حله. بفضل برنامج Apple bug bounty ، تمت مكافأة عالم الكمبيوتر الدولار الأمريكي 100.000 شكراً لاكتشاف مهم تم اكتشافه.

تضمن الخطأ مشكلة في رموز الويب التي تم إنشاؤها عند استخدام النظام «قم بتسجيل الدخول باستخدام Apple»في خدمات الويب الخارجية. أشار جاين إلى أن الثغرة الأمنية جعلت من الممكن لأي شخص طلب الرموز المميزة لأي معرف بريد إلكتروني من Apple. يمكن بعد ذلك استخدامها كرموز للتحقق من الهوية. سيسمح هذا للمهاجمين بانتحال رمز مميز عن طريق ربطه بمعرف Apple. من هنا ، سيتمكن الشخص الغريب من الوصول الكامل باستخدام جهاز Apple iD المخترق.

قام العديد من المطورين بدمج "تسجيل الدخول باستخدام Apple" حيث يلزم وجود حساب ولديهم بالفعل عمليات تسجيل دخول اجتماعية أخرى. على سبيل المثال، Facebook ، Dropbox ، Spotify ، Airbnb ، Giphy وما إلى ذلك.

كان من الممكن أن تكون هذه التطبيقات عرضة للاستيلاء الكامل على الحساب إذا لم تكن هناك إجراءات أمنية أخرى مطبقة أثناء التحقق من المستخدم. وفقًا لجين ، أجرت شركة Apple تحقيقًا وقررت ذلك تم اختراق أي حساب بسبب تسجيل الدخول هذا قبل إصلاح الخرق الأمني.


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.