لبضعة أسابيع ، لاحظنا أنه في مواقع الويب المختلفة وخدمات الإنترنت التابعة لجهات خارجية ، يمكننا "تسجيل الدخول" باستخدام معرف أبل. الحقيقة أنني في المرة الأولى التي رأيته فيها جعدت أنفي ولم أكن مضحكة للغاية. بالنسبة لهذه الأشياء ، لدي بالفعل حساب Gmail "غير مرغوب فيه" ، حيث لا أهتم إذا تلقيت بريدًا عشوائيًا لأنني لم أنظر إليه مطلقًا.
إذا كان صحيحًا أنه عندما قامت Apple بتثبيت هذا النظام ، فقد تأكدت من أن خدمة الويب التي تستخدمها لا تحصل على بيانات المستخدم أو تسمح لها بإرسال بريد عشوائي. لكنني ، فقط في حالة ، لا أنوي استخدامه. الآن نحن نعلم أنه كان هناك ملف اختراق امني في هذا النظام وقد كافأت الشركة مكتشف الخطأ بشكل جيد للغاية.
ربما سمحت ثغرة أمنية في "تسجيل الدخول باستخدام Apple" للمتسللين بالتحكم الكامل في حسابات المستخدمين التي يتم الوصول إليها من خلال هذا النظام. لحسن الحظ ، تم اكتشاف الخطأ بواسطة الباحث الأمني المقيم في الهند بهافوك جاين.
مكافأة قدرها 100.000،XNUMX دولار أسترالي
ها هي أول مكافأة لي من 6 أرقام @تفاحة. منشور المدونة سيكون الأسبوع المقبل. #bugbounty pic.twitter.com/QygxvtGYJb
- بهافوك جاين (@ bhavukjain1) 24 مايو 2020
في منشور مدونة نُشر خلال عطلة نهاية الأسبوع ، أشار Jain إلى أنه أبلغ شركة Apple بالثغرة الأمنية في أبريل. بسرعة من كوبرتينو تحققوا من الخطأ وتم حله. بفضل برنامج Apple bug bounty ، تمت مكافأة عالم الكمبيوتر الدولار الأمريكي 100.000 شكراً لاكتشاف مهم تم اكتشافه.
تضمن الخطأ مشكلة في رموز الويب التي تم إنشاؤها عند استخدام النظام «قم بتسجيل الدخول باستخدام Apple»في خدمات الويب الخارجية. أشار جاين إلى أن الثغرة الأمنية جعلت من الممكن لأي شخص طلب الرموز المميزة لأي معرف بريد إلكتروني من Apple. يمكن بعد ذلك استخدامها كرموز للتحقق من الهوية. سيسمح هذا للمهاجمين بانتحال رمز مميز عن طريق ربطه بمعرف Apple. من هنا ، سيتمكن الشخص الغريب من الوصول الكامل باستخدام جهاز Apple iD المخترق.
قام العديد من المطورين بدمج "تسجيل الدخول باستخدام Apple" حيث يلزم وجود حساب ولديهم بالفعل عمليات تسجيل دخول اجتماعية أخرى. على سبيل المثال، Facebook ، Dropbox ، Spotify ، Airbnb ، Giphy وما إلى ذلك.
كان من الممكن أن تكون هذه التطبيقات عرضة للاستيلاء الكامل على الحساب إذا لم تكن هناك إجراءات أمنية أخرى مطبقة أثناء التحقق من المستخدم. وفقًا لجين ، أجرت شركة Apple تحقيقًا وقررت ذلك تم اختراق أي حساب بسبب تسجيل الدخول هذا قبل إصلاح الخرق الأمني.