Již několik týdnů jsme pozorovali, že na různých webových stránkách a internetových službách třetích stran se můžeme „přihlásit“ pomocí našich Apple ID. Pravda je, že když jsem ho poprvé uviděl, zvrásnil jsem nos a nebyl jsem moc vtipný. Pro tyto věci už mám „nevyžádaný“ účet Gmailu, kde mi je jedno, jestli dostanu spam, protože se na něj nikdy nedívám.
Pokud je pravda, že když Apple nainstaloval tento systém, ujistil se, že webová služba, která jej používá, nezíská uživatelská data ani mu neumožňuje odesílat spam. Ale pro každý případ to nehodlám použít. Nyní víme, že tam byla narušení bezpečnosti v tomto systému a společnost velmi dobře odměnila objevitele chyby.
Chyba zabezpečení „Přihlásit se společností Apple“ mohla hackerům umožnit úplnou kontrolu nad uživatelskými účty, ke kterým má přístup tento systém. Naštěstí tu chybu objevil indický výzkumník bezpečnosti Bhavuk džinismus.
Bonus 100.000 XNUMX $
Tady je moje první šestimístná odměna @Jablko. Příspěvek na blogu bude k dispozici příští týden. #bugbouunty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) 24
V příspěvku na blogu zveřejněném přes víkend Jain poznamenal, že v dubnu informoval společnost Apple o této chybě zabezpečení. Rychle od Cupertina ověřili chybu a bylo vyřešeno. Díky programu Apple bug bounty byl počítačový vědec odměněn Americký dolar 100.000 jako díky za objevený důležitý nález.
Chyba zahrnovala problém s webovými tokeny generovanými při používání systému «Přihlaste se pomocí Apple»Ve webových službách třetích stran. Jain poznamenal, že tato chyba zabezpečení umožnila komukoli požadovat tokeny pro jakékoli ID e-mailu Apple. Poté by mohly být použity jako tokeny k ověření identity. To by útočníkům umožnilo spoofovat token propojením s Apple ID. Od této chvíle bude mít cizinec plný přístup s hacknutým Apple iD.
Mnoho vývojářů integrovalo „Přihlaste se pomocí Apple“, kde je vyžadován účet, a již mají jiná sociální přihlášení. Například, Facebook, Dropbox, Spotify, Airbnb, Giphy atd.
Tyto aplikace mohly být zranitelné při plném převzetí účtu, pokud by během ověřování uživatele nebyla zavedena žádná jiná bezpečnostní opatření. Podle Jaina Apple provedl vyšetřování a rozhodl to nebyl ohrožen žádný účet kvůli tomuto přihlášení před opravou narušení bezpečnosti.