Η Apple επιβραβεύει έναν επιστήμονα υπολογιστών με 100.000 $ για την αναφορά σφάλματος ασφαλείας

Toni Cortes

2 λεπτά

Σφάλμα ασφαλείας

Για μερικές εβδομάδες, παρατηρήσαμε ότι σε διαφορετικούς ιστότοπους και υπηρεσίες διαδικτύου τρίτων μπορούμε να "συνδεθούμε" με το δικό μας Apple ID. Η αλήθεια είναι ότι την πρώτη φορά που τον είδα, ζάρωσα τη μύτη μου και δεν ήμουν πολύ αστεία. Για αυτά τα πράγματα έχω ήδη έναν λογαριασμό "ανεπιθύμητης αλληλογραφίας" στο Gmail, όπου δεν με νοιάζει αν έχω ανεπιθύμητο περιεχόμενο γιατί δεν το βλέπω ποτέ.

Εάν είναι αλήθεια ότι όταν η Apple έχει εγκαταστήσει αυτό το σύστημα, έχει διασφαλίσει ότι η υπηρεσία ιστού που τη χρησιμοποιεί δεν λαμβάνει δεδομένα χρήστη ή δεν της επιτρέπει να στέλνει ανεπιθύμητα μηνύματα. Αλλά εγώ, σε κάθε περίπτωση, δεν σκοπεύω να το χρησιμοποιήσω. Τώρα ξέρουμε ότι υπήρχε παραβίαση ασφαλείας σε αυτό το σύστημα και η εταιρεία επιβράβευσε πολύ καλά τον εντοπιστή του λάθους.

Μια ευπάθεια ασφαλείας με το "Σύνδεση με την Apple" θα μπορούσε να επιτρέψει στους χάκερ να ελέγχουν πλήρως τους λογαριασμούς χρηστών στους οποίους έχει προσπελαστεί το σύστημα. Ευτυχώς, το σφάλμα εντοπίστηκε από τον ερευνητή ασφαλείας με έδρα την Ινδία Μπαβούκ Τζέιν.

Μπόνους 100.000 $

Σε μια ανάρτηση ιστολογίου που δημοσιεύτηκε το Σαββατοκύριακο, ο Jain σημείωσε ότι ενημέρωσε την Apple για την ευπάθεια τον Απρίλιο. Γρήγορα από το Cupertino επιβεβαίωσαν το σφάλμα και επιλύθηκε. Χάρη στο πρόγραμμα bug bounty της Apple, ο επιστήμονας υπολογιστών επιβραβεύτηκε Δολάρια 100.000 ως ευχαριστώ για το σημαντικό εύρημα που ανακαλύφθηκε.

Το σφάλμα περιελάμβανε πρόβλημα με τα διακριτικά ιστού που δημιουργήθηκαν κατά τη χρήση του συστήματος «Συνδεθείτε με την Apple»Σε διαδικτυακές υπηρεσίες τρίτων. Ο Jain σημείωσε ότι η ευπάθεια επέτρεψε σε οποιονδήποτε να ζητήσει διακριτικά για οποιοδήποτε αναγνωριστικό email Apple. Στη συνέχεια θα μπορούσαν να χρησιμοποιηθούν ως διακριτικά για την επαλήθευση της ταυτότητας. Αυτό θα επέτρεπε στους εισβολείς να πλαστογραφήσουν ένα διακριτικό συνδέοντάς το με ένα Apple ID. Από εδώ, ο ξένος θα έχει πλήρη πρόσβαση με το χαλασμένο Apple iD.

Πολλοί προγραμματιστές έχουν ενσωματώσει το "Σύνδεση με την Apple", όπου απαιτείται λογαριασμός και έχουν ήδη άλλες κοινωνικές συνδέσεις. Για παράδειγμα, Facebook, Dropbox, Spotify, Airbnb, Giphy και ούτω καθεξής

Αυτές οι εφαρμογές θα μπορούσαν να είναι ευάλωτες σε πλήρη ανάληψη λογαριασμού, εάν δεν υπήρχαν άλλα μέτρα ασφαλείας κατά την επαλήθευση ενός χρήστη. Σύμφωνα με τον Jain, η Apple διεξήγαγε έρευνα και διαπίστωσε ότι κανένας λογαριασμός δεν έχει παραβιαστεί λόγω αυτής της σύνδεσης πριν διορθώσετε την παραβίαση ασφαλείας.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.