В продължение на няколко седмици забелязахме, че в различни уебсайтове и интернет услуги на трети страни можем да „влезем“ с нашите Apple ID. Истината е, че първия път, когато го видях, сбръчках носа си и не бях много забавна. За тези неща вече имам „боклук“ акаунт в Gmail, където не ме интересува дали получавам спам, защото никога не го гледам.
Ако е вярно, че когато Apple е инсталирал тази система, той се е уверил, че уеб услугата, която я използва, не получава потребителски данни или не й позволява да изпраща спам. Но аз, за всеки случай, нямам намерение да го използвам. Сега знаем, че е имало нарушение на сигурността в тази система и компанията е възнаградила откривателя на грешката много добре.
Уязвимостта на сигурността с „Влезте с Apple“ би могла да позволи на хакерите да осъществяват пълен контрол на потребителските акаунти, достъпни чрез тази система. За щастие грешката е забелязана от базирания в Индия изследовател по сигурността Бхавук Джайн.
Бонус от $ 100.000 XNUMX
Ето моята първа 6-цифрена награда от @Apple. Публикацията в блога ще се появи следващата седмица. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) Май 24, 2020
В публикация в блог, публикувана през уикенда, Джейн отбеляза, че е информирал Apple за уязвимостта през април. Бързо от Купертино провериха грешката и тя беше решена. Благодарение на програмата за награди на Apple за грешки, компютърният учен е награден с Щатски долара 100.000 като благодарност за откритата важна находка.
Грешката включва проблем с уеб маркерите, генерирани при използване на «Влезте с Apple»В уеб услуги на трети страни. Джейн отбеляза, че уязвимостта дава възможност на всеки да поиска токени за всеки имейл на Apple ID. След това те могат да бъдат използвани като символи за проверка на самоличността. Това би позволило на хакерите да фалшифицират токен, като го свържат с Apple ID. Оттук непознатият ще има пълен достъп с хакнатия Apple iD.
Много разработчици са интегрирали „Вход с Apple“, където е необходим акаунт и те вече имат други социални данни за вход. Например, Facebook, Dropbox, Spotify, Airbnb, Giphy и т.н.
Тези приложения биха могли да бъдат уязвими за пълно поглъщане на акаунт, ако нямаше други мерки за сигурност, докато потребителят беше проверен. Според Джейн Apple проведе разследване и определи това нито един акаунт не е компрометиран поради това влизане преди отстраняване на нарушението на сигурността.