Seit einigen Wochen stellen wir fest, dass wir uns auf verschiedenen Websites und bei Internetdiensten von Drittanbietern mit unserem "anmelden" können Apple ID. Die Wahrheit ist, dass ich beim ersten Mal, als ich ihn sah, meine Nase runzelte und nicht sehr lustig war. Für diese Dinge habe ich bereits ein "Junk" -Gmail-Konto, in dem es mir egal ist, ob ich Spam bekomme, weil ich es mir nie ansehe.
Wenn es stimmt, dass Apple bei der Installation dieses Systems sichergestellt hat, dass der Webdienst, der es verwendet, keine Benutzerdaten erhält oder Spam senden darf. Aber ich habe nicht vor, es für alle Fälle zu benutzen. Jetzt wissen wir, dass es eine gab Sicherheitslücke In diesem System hat das Unternehmen den Entdecker des Fehlers sehr gut belohnt.
Eine Sicherheitslücke mit "Mit Apple anmelden" hätte es Hackern ermöglichen können, die vollständige Kontrolle über Benutzerkonten zu übernehmen, auf die über dieses System zugegriffen wird. Glücklicherweise wurde der Fehler vom in Indien ansässigen Sicherheitsforscher entdeckt Bhavuk Jaina.
Ein $ 100.000 Bonus
Hier ist mein erstes 6-stelliges Kopfgeld von @Apfel. Der Blog-Beitrag wird nächste Woche veröffentlicht. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) 24. Mai 2020
In einem Blogbeitrag, der am Wochenende veröffentlicht wurde, stellte Jain fest, dass er Apple im April auf die Sicherheitsanfälligkeit aufmerksam gemacht hat. Schnell von Cupertino aus überprüften sie den Fehler und er wurde behoben. Dank Apples Bug Bounty-Programm wurde der Informatiker belohnt Dollar 100.000 als Dank für den wichtigen Fund entdeckt.
Der Fehler betraf ein Problem mit den Web-Token, die bei Verwendung des Systems generiert wurden. «Melden Sie sich bei Apple an»In Webdiensten von Drittanbietern. Jain bemerkte, dass die Sicherheitsanfälligkeit es jedem ermöglichte, Token für eine Apple-E-Mail-ID anzufordern. Sie könnten dann als Token zur Überprüfung der Identität verwendet werden. Dies würde es Angreifern ermöglichen, ein Token zu fälschen, indem sie es mit einer Apple ID verknüpfen. Von hier aus hat der Fremde vollen Zugriff auf das gehackte Apple iD.
Viele Entwickler haben "Mit Apple anmelden" integriert, wenn ein Konto erforderlich ist und sie bereits über andere soziale Anmeldungen verfügen. Zum Beispiel, Facebook, Dropbox, Spotify, Airbnb, Giphy usw.
Diese Apps könnten für eine vollständige Kontoübernahme anfällig gewesen sein, wenn während der Überprüfung eines Benutzers keine anderen Sicherheitsmaßnahmen getroffen worden wären. Laut Jain hat Apple eine Untersuchung durchgeführt und dies festgestellt Es wurde kein Konto kompromittiert aufgrund dieser Anmeldung vor dem Beheben der Sicherheitsverletzung.