Apple награждава компютърен учен със 100.000 XNUMX долара за докладване на грешка в сигурността

Toni Cortes

2 Minutos

Грешка в сигурността

В продължение на няколко седмици забелязахме, че в различни уебсайтове и интернет услуги на трети страни можем да „влезем“ с нашите Apple ID. Истината е, че първия път, когато го видях, сбръчках носа си и не бях много забавна. За тези неща вече имам „боклук“ акаунт в Gmail, където не ме интересува дали получавам спам, защото никога не го гледам.

Ако е вярно, че когато Apple е инсталирал тази система, той се е уверил, че уеб услугата, която я използва, не получава потребителски данни или не й позволява да изпраща спам. Но аз, за ​​всеки случай, нямам намерение да го използвам. Сега знаем, че е имало нарушение на сигурността в тази система и компанията е възнаградила откривателя на грешката много добре.

Уязвимостта на сигурността с „Влезте с Apple“ би могла да позволи на хакерите да осъществяват пълен контрол на потребителските акаунти, достъпни чрез тази система. За щастие грешката е забелязана от базирания в Индия изследовател по сигурността Бхавук Джайн.

Бонус от $ 100.000 XNUMX

В публикация в блог, публикувана през уикенда, Джейн отбеляза, че е информирал Apple за уязвимостта през април. Бързо от Купертино провериха грешката и тя беше решена. Благодарение на програмата за награди на Apple за грешки, компютърният учен е награден с Щатски долара 100.000 като благодарност за откритата важна находка.

Грешката включва проблем с уеб маркерите, генерирани при използване на «Влезте с Apple»В уеб услуги на трети страни. Джейн отбеляза, че уязвимостта дава възможност на всеки да поиска токени за всеки имейл на Apple ID. След това те могат да бъдат използвани като символи за проверка на самоличността. Това би позволило на хакерите да фалшифицират токен, като го свържат с Apple ID. Оттук непознатият ще има пълен достъп с хакнатия Apple iD.

Много разработчици са интегрирали „Вход с Apple“, където е необходим акаунт и те вече имат други социални данни за вход. Например, Facebook, Dropbox, Spotify, Airbnb, Giphy и т.н.

Тези приложения биха могли да бъдат уязвими за пълно поглъщане на акаунт, ако нямаше други мерки за сигурност, докато потребителят беше проверен. Според Джейн Apple проведе разследване и определи това нито един акаунт не е компрометиран поради това влизане преди отстраняване на нарушението на сигурността.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.