Egy héten keresztül megfigyeltük, hogy a különböző webhelyeken és harmadik féltől származó internetes szolgáltatásokban "bejelentkezhetünk" sajátunkkal Apple ID. Az az igazság, hogy amikor először láttam, ráncoltam az orromat, és nem voltam túl vicces. Ezekre a dolgokra már van egy "szemét" Gmail-fiókom, ahol nem érdekel, hogy kapok-e spamet, mert soha nem nézem meg.
Ha igaz, hogy amikor az Apple telepítette ezt a rendszert, megbizonyosodott arról, hogy az azt használó webszolgáltatás nem szerez felhasználói adatokat, és nem engedélyezi spam küldését. De én, minden esetre, nem szándékozom használni. Most már tudjuk, hogy volt egy biztonsági rés ebben a rendszerben és a vállalat nagyon jól megjutalmazta a hiba felfedezettjét.
A "Bejelentkezés az Apple-nél" biztonsági rés lehetővé tette a hackerek számára, hogy teljes ellenőrzést hajtsanak végre a rendszeren keresztül elérhető felhasználói fiókok felett. Szerencsére a hibát az indiai biztonsági kutató észlelte Bhavuk jain.
100.000 XNUMX dolláros bónusz
Itt van az első 6 jegyű fejem @Alma. A blogbejegyzés jövő héten jelenik meg. # bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) May 24, 2020
A hétvégén közzétett blogbejegyzésében Jain megjegyezte, hogy áprilisban tudtára adta az Apple-nek a sebezhetőséget. Gyorsan Cupertinóból igazolták a hibát, és ez megoldódott. Az Apple hibajavító programjának köszönhetően a számítógépes tudós jutalmat kapott USA dollár 100.000 mint köszönet a felfedezett fontos felfedezésért.
A hiba a rendszer használatával létrehozott web-tokenekkel kapcsolatos problémát jelentett «Jelentkezzen be az Apple szolgáltatással»Harmadik fél webszolgáltatásaiban. Jain megjegyezte, hogy a biztonsági rés lehetővé tette, hogy bárki kérjen tokent bármilyen Apple e-mail azonosítóhoz. Ezután felhasználhatók tokenekként a személyazonosság igazolására. Ez lehetővé tenné a támadók számára, hogy hamisítsanak egy tokent az Apple ID azonosítójához kapcsolva. Innentől kezdve az idegen teljes hozzáférést kap a feltört Apple iD-vel.
Sok fejlesztő integrálta a "Bejelentkezés az Apple-be" lehetőséget, ahol fiókra van szükség, és már vannak más közösségi bejelentkezési adataik. Például, Facebook, Dropbox, Spotify, Airbnb, Giphy elvisszük helyi falvakba ahol megismerkedhet az őslakosok kultúrájával; ...
Ezek az alkalmazások kiszolgáltatottak lehettek volna a teljes fiókátvételre, ha a felhasználó ellenőrzése közben nem voltak érvényben más biztonsági intézkedések. Jain szerint az Apple kivizsgálást folytatott és megállapította egyetlen fiók sem sérült a bejelentkezés miatt a biztonsági rés kijavítása előtt.