কয়েক সপ্তাহের জন্য, আমরা লক্ষ্য করেছি যে বিভিন্ন ওয়েবসাইট এবং তৃতীয় পক্ষের ইন্টারনেট পরিষেবাগুলিতে আমরা আমাদের সাথে "লগ ইন" করতে পারি অ্যাপল আইডি। সত্যটি হ'ল আমি যখন তাকে প্রথম দেখলাম, তখন আমি আমার নাকের চুলকানিতে পড়েছিলাম এবং আমি খুব মজার ছিলাম না। এই জিনিসগুলির জন্য আমার কাছে ইতিমধ্যে একটি "জাঙ্ক" জিমেইল অ্যাকাউন্ট রয়েছে, যেখানে আমি স্প্যাম পেয়েছি সেদিকে খেয়াল নেই কারণ আমি কখনই এটি দেখি না।
যদি এটি সত্য হয় যে অ্যাপল যখন এই সিস্টেমটি ইনস্টল করেছে, এটি নিশ্চিত করেছে যে এটি যে ওয়েব পরিষেবা ব্যবহার করে তা ব্যবহারকারীর ডেটা গ্রহণ করে না বা স্প্যাম প্রেরণের অনুমতি দেয় না। তবে আমি কেবলমাত্র এটি ব্যবহার করার ইচ্ছা করি না। এখন আমরা জানি একটি ছিল নিরাপত্তা ভঙ্গ এই সিস্টেমে এবং সংস্থাটি ত্রুটির আবিষ্কারকারীকে খুব ভালভাবে পুরস্কৃত করেছে।
"অ্যাপলের সাথে সাইন ইন" সহ একটি সুরক্ষিত দুর্বলতা হ্যাকারদের এই সিস্টেমের মাধ্যমে অ্যাক্সেস করা ব্যবহারকারী অ্যাকাউন্টগুলির সম্পূর্ণ নিয়ন্ত্রণ পরিচালনা করতে পারত। ভাগ্যক্রমে, বাগটি ভারত-ভিত্তিক সুরক্ষা গবেষক দ্বারা চিহ্নিত করা হয়েছিল ভাভুক জৈন.
একটি ,100.000 XNUMX বোনাস
এখানে থেকে আমার প্রথম 6 ডিজিটের অনুগ্রহ @Apple। ব্লগ পোস্টটি আগামী সপ্তাহে উঠবে। # বাগবন্টি pic.twitter.com/QygxvtGYJb
- ভাবুক জৈন (@ ভাভুকজাইন 1) 24 পারে, 2020
উইকএন্ডে পোস্ট করা একটি ব্লগ পোস্টে জৈন উল্লেখ করেছিলেন যে তিনি এপ্রিল মাসে অ্যাপলকে দুর্বলতা সম্পর্কে সচেতন করেছেন। কাপের্টিনো থেকে দ্রুত তারা ত্রুটিটি যাচাই করেছে এবং এটি সমাধান করা হয়েছে। অ্যাপলের বাগ অনুগ্রহ কর্মসূচির জন্য কম্পিউটার বিজ্ঞানী পুরস্কৃত হয়েছেন 100.000 ডলার হিসাবে আবিষ্কার গুরুত্বপূর্ণ আবিষ্কারের জন্য ধন্যবাদ।
ওয়েব টোকেনগুলির সাথে ত্রুটিটি generatedঅ্যাপলের সাথে সাইন ইন করুনThird তৃতীয় পক্ষের ওয়েব পরিষেবাদিতে। জৈন উল্লেখ করেছেন যে দুর্বলতার কারণে যেকোনও অ্যাপলের ইমেল আইডির জন্য টোকেনের অনুরোধ করা সম্ভব হয়েছে। এরপরে এগুলি পরিচয় যাচাই করার জন্য টোকেন হিসাবে ব্যবহৃত হতে পারে। এটি আক্রমণকারীদের কোনও অ্যাপল আইডির সাথে লিঙ্ক করে একটি টোকেনটিকে ফাঁকি দেওয়ার অনুমতি দেবে। এখান থেকে, অপরিচিত ব্যক্তির হ্যাকড অ্যাপল আইডি দিয়ে সম্পূর্ণ অ্যাক্সেস থাকবে।
অনেক বিকাশকারী "অ্যাপলের সাথে সাইন ইন" সংহত করেছেন যেখানে অ্যাকাউন্ট প্রয়োজন এবং তাদের ইতিমধ্যে অন্যান্য সামাজিক লগইন রয়েছে। উদাহরণ স্বরূপ, ফেসবুক, ড্রপবক্স, স্পটিফাই, এয়ারবিএনবি, গিফি ইত্যাদি।
কোনও ব্যবহারকারী যাচাই করা হচ্ছে এমন স্থানে অন্য কোনও সুরক্ষা ব্যবস্থা না করা থাকলে এই অ্যাকাউন্টগুলি সম্পূর্ণ অ্যাকাউন্টে নেওয়ার পক্ষে ঝুঁকিপূর্ণ হতে পারে। জৈনের মতে, অ্যাপল একটি তদন্ত পরিচালনা করেছে এবং এটি নির্ধারণ করেছে কোনও অ্যাকাউন্টে আপস করা হয়নি সুরক্ষা লঙ্ঘন ঠিক করার আগে এই লগইনের কারণে।