Mõne nädala jooksul oleme täheldanud, et erinevatel veebisaitidel ja kolmandate osapoolte Interneti-teenustes saame oma kasutajatega "sisse logida" Apple ID. Tõde on see, et kui ma teda esimest korda nägin, kortsutasin ma oma nina ja ma polnud eriti naljakas. Nende asjade jaoks on mul juba "rämps" Gmaili konto, kus mind ei huvita, kas saan rämpsposti, sest ma ei vaata seda kunagi.
Kui on tõsi, et kui Apple on selle süsteemi installinud, on ta veendunud, et seda kasutav veebiteenus ei hanki kasutajaandmeid ega luba rämpsposti saata. Aga ma ei kavatse seda igaks juhuks kasutada. Nüüd teame, et seal oli a turvarikkumine selles süsteemis ja ettevõte on vea avastajale väga head tasu andnud.
Turvalisuse nõrkus jaotisega „Logi sisse Apple'iga” oleks võinud lubada häkkeritel selle süsteemi kaudu juurdepääsetavate kasutajakontode täielikku kontrolli. Õnneks märkas viga Indiast pärit julgeoleku-uurija Bhavuk Jain.
100.000 XNUMX dollari suurune boonus
Siin on minu esimene kuuekohaline pearaha @Apple. Blogi postitus ilmub järgmisel nädalal. #lollakas pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) Võib 24 2020
Nädalavahetusel postitatud blogipostituses märkis Jain, et tegi Appleile haavatavusest teada aprillis. Kiiresti kontrolliti Cupertinost viga ja see lahendati. Tänu Apple'i veaparandusprogrammile on arvutiteadlane premeeritud USA dollari 100.000 tänuks olulise avastatud leiu eest.
Viga hõlmas süsteemi kasutamisel loodud veebimärkide probleemi «Logige sisse Apple'iga»Kolmandate osapoolte veebiteenustes. Jain märkis, et haavatavus võimaldas kõigil taotleda Apple'i e-posti ID-le märke. Seejärel saaks neid identiteedi kontrollimiseks kasutada märkidena. See võimaldaks ründajatel võltsida luba, sidudes selle Apple ID-ga. Siit pääseb võõras täielikult sisse häkkinud Apple iD-ga.
Paljud arendajad on integreerinud "Logi sisse Apple'iga", kus on vaja kontot ja neil on juba muud sotsiaalsed sisselogimised. Näiteks, Facebook, Dropbox, Spotify, Airbnb, Giphy ja nii edasi
Need rakendused oleksid võinud olla täieliku konto ülevõtmise suhtes haavatavad, kui kasutaja kinnitamise ajal ei olnud muid turvameetmeid. Jaini sõnul viis Apple uurimise läbi ja tegi kindlaks ühtegi kontot ei kahjustatud selle sisselogimise tõttu enne turvarikkumise parandamist.