થોડા અઠવાડિયા માટે, અમે નિરીક્ષણ કર્યું છે કે વિવિધ વેબસાઇટ્સ અને તૃતીય-પક્ષ ઇન્ટરનેટ સેવાઓમાં અમે અમારી સાથે "લ inગ ઇન" કરી શકીએ છીએ Appleપલ આઈ.ડી.. સત્ય એ છે કે મેં તેને પહેલી વાર જોયું, મેં મારા નાક પર સળવળાટ કર્યો અને હું ખૂબ રમુજી નહોતો. આ બાબતો માટે મારી પાસે પહેલેથી જ એક "જંક" જીમેઇલ એકાઉન્ટ છે, જ્યાં મને સ્પામ આવે છે કે કેમ તેની મને પરवाह નથી કારણ કે હું ક્યારેય તેને જોતો નથી.
જો તે સાચું છે કે જ્યારે Appleપલે આ સિસ્ટમ ઇન્સ્ટોલ કરી છે, ત્યારે તેણે ખાતરી કરી છે કે જે વેબ સર્વિસ તેનો ઉપયોગ કરે છે તે વપરાશકર્તા ડેટા પ્રાપ્ત કરતી નથી અથવા તેને સ્પામ મોકલવા દેતી નથી. પરંતુ હું, ફક્ત કિસ્સામાં, તેનો ઉપયોગ કરવાનો ઇરાદો નથી. હવે આપણે જાણીએ છીએ કે ત્યાં એક હતું સુરક્ષા ભંગ આ સિસ્ટમમાં અને કંપનીએ ભૂલ શોધી કાrerનારને ખૂબ જ સારી રીતે ઈનામ આપ્યું છે.
"Appleપલ સાથે સાઇન ઇન" સાથેની સુરક્ષા નબળાઈને હેકરોને આ સિસ્ટમ દ્વારા userક્સેસ કરાયેલા વપરાશકર્તા એકાઉન્ટ્સનું સંપૂર્ણ નિયંત્રણ હાથ ધરવાની મંજૂરી હોઇ શકે. સદ્ભાગ્યે, આ ભૂલ ભારત સ્થિત સુરક્ષા સંશોધનકારે શોધી કા .ી હતી ભાવુક જૈન.
એક ,100.000 XNUMX બોનસ
અહીંથી મારી પ્રથમ 6 અંકની બક્ષિસ છે @Apple. બ્લોગ પોસ્ટ આવતા અઠવાડિયે આવશે. # બગબountન્ટી pic.twitter.com/QygxvtGYJb
- ભાવુક જૈન (@ ભાવુકજૈન 1) 24 શકે છે, 2020
સપ્તાહના અંતે પોસ્ટ કરેલી એક બ્લોગ પોસ્ટમાં, જૈને નોંધ્યું છે કે તે Appleપલને એપ્રિલમાં નબળાઈઓથી વાકેફ કરે છે. ક્યુપરટિનોથી ઝડપથી તેઓએ ભૂલની ચકાસણી કરી અને તે હલ થઈ ગયો. Appleપલના બગ બાઉન્ટિ પ્રોગ્રામ માટે આભાર, કમ્પ્યુટર વિજ્entistાનીને આનાથી નવાજવામાં આવ્યા છે 100.000 ડોલર જેમ કે અગત્યની શોધ થઈ તેના માટે આભાર.
સિસ્ટમનો ઉપયોગ કરતી વખતે પેદા થયેલ વેબ ટોકન્સ સાથેની ભૂલમાં ભૂલAppleપલ સાથે સાઇન ઇન કરોThird તૃતીય-પક્ષ વેબ સેવાઓમાં. જૈને નોંધ્યું છે કે નબળાઈથી કોઈને પણ કોઈપણ Appleપલ ઇમેઇલ આઈડી માટે ટોકન વિનંતી કરવાનું શક્ય બનાવ્યું છે. ત્યારબાદ તેઓ ઓળખની ચકાસણી કરવા માટે ટોકન્સ તરીકે ઉપયોગ કરી શકશે. આ હુમલાખોરોને Appleપલ આઈડી સાથે લિંક કરીને ટોકન બનાવવાની મંજૂરી આપશે. અહીંથી, અપરિચિત વ્યક્તિને હેક કરેલા Appleપલ આઇડી સાથે સંપૂર્ણ haveક્સેસ હશે.
ઘણા વિકાસકર્તાઓએ "Appleપલ સાથે સાઇન ઇન" એકીકૃત કર્યું છે, જ્યાં એકાઉન્ટ આવશ્યક છે અને તેમની પાસે પહેલાથી જ અન્ય સામાજિક લ logગિન છે. દાખ્લા તરીકે, ફેસબુક, ડ્રropપબboxક્સ, સ્પોટાઇફ, એરબીએનબી, ગિફી વગેરે
જો વપરાશકર્તાની ચકાસણી કરવામાં આવી રહી હતી ત્યાં કોઈ અન્ય સુરક્ષા પગલાં ન લેવાય તો આ એપ્લિકેશનો સંપૂર્ણ એકાઉન્ટ ટેકઓવર માટે સંવેદનશીલ બની શકે છે. જૈનના જણાવ્યા મુજબ, Appleપલે તપાસ હાથ ધરી હતી અને તે નક્કી કર્યું હતું કોઈ ખાતામાં ચેડા કરવામાં આવ્યા ન હતા સુરક્ષાના ભંગને ઠીક કરતાં પહેલાં આ લ loginગિનને કારણે.