Muutaman viikon ajan olemme havainneet, että eri verkkosivustoilla ja kolmansien osapuolten Internet-palveluissa voimme "kirjautua sisään" omillamme Apple ID. Totuus on, että ensimmäistä kertaa kun näin hänet, rypistyin nenäni enkä ollut kovin hauska. Näitä asioita varten minulla on jo "roskaposti" Gmail-tili, missä en välitä, jos saan roskapostia, koska en koskaan katso sitä.
Jos on totta, että kun Apple on asentanut tämän järjestelmän, se on varmistanut, että sitä käyttävä verkkopalvelu ei hanki käyttäjätietoja tai salli sen lähettää roskapostia. Mutta minä, vain siinä tapauksessa, en aio käyttää sitä. Nyt tiedämme, että siellä oli turvallisuusrikkomus tässä järjestelmässä ja yritys on palkinnut virheen löydön erittäin hyvin.
"Kirjaudu sisään Applella" -turvallisuushaavoittuvuus olisi voinut antaa hakkereille mahdollisuuden hallita täyttä järjestelmän käyttäjätunnusta. Onneksi intialainen turvatutkija huomasi virheen Bhavuk jain.
100.000 XNUMX dollarin bonus
Tässä on ensimmäinen 6-numeroinen palkkioni @Omena. Blogiviesti ilmestyy ensi viikolla. #bugboundy pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) Voi 24, 2020
Viikonloppuna julkaistussa blogiviestissä Jain totesi, että hän sai Applen tietämään haavoittuvuudesta huhtikuussa. Nopeasti Cupertinosta he varmistivat virheen ja se ratkaistiin. Applen bug palkkio-ohjelman ansiosta tietotekniikka on palkittu Yhdysvaltain dollari 100.000 kiitoksena löydetystä tärkeästä löydöksestä.
Virhe aiheutti ongelman verkkotunnisteissa, jotka luotiin järjestelmää käytettäessä «Kirjaudu sisään Applella»Kolmansien osapuolten verkkopalveluissa. Jain totesi, että haavoittuvuuden ansiosta kuka tahansa voi pyytää tunnuksia mille tahansa Apple-sähköpostitunnukselle. Sitten niitä voitaisiin käyttää tunnuksina henkilöllisyyden todentamiseksi. Tämä antaisi hyökkääjille mahdollisuuden huijata tunnusta linkittämällä se Apple ID: hen. Täältä muukalainen saa täyden pääsyn hakkeroidun Apple iD: n kanssa.
Monet kehittäjät ovat integroineet "Kirjaudu sisään Appleen" -palvelun, jossa tarvitaan tili ja heillä on jo muita sosiaalisia kirjautumistunnuksia. Esimerkiksi, Facebook, Dropbox, Spotify, Airbnb, Giphy ja niin edelleen
Nämä sovellukset olisivat voineet olla alttiita tilin täydelliselle haltuunotolle, jos käyttäjän vahvistamisen aikana ei ollut muita turvatoimia. Jainin mukaan Apple suoritti tutkimuksen ja totesi sen mikään tili ei vaarantunut tämän kirjautumisen vuoksi ennen tietoturvaloukkauksen korjaamista.