במשך שבוע ראינו כי באתרים ושירותי אינטרנט שונים של צדדים שלישיים אנו יכולים "להתחבר" באמצעות שלנו מזהה אפל. האמת היא שבפעם הראשונה שראיתי אותו, קמטתי את האף ולא הייתי מצחיק במיוחד. לדברים האלה כבר יש לי חשבון ג'ימייל "זבל", שם לא אכפת לי שהספאם יגיע אלי כי אני אף פעם לא מסתכל עליו.
אם נכון שכאשר אפל התקינה מערכת זו, היא דאגה ששירות האינטרנט שמשתמש בה אינו משיג נתוני משתמשים או מאפשר לה לשלוח דואר זבל. אבל אני, רק למקרה, לא מתכוון להשתמש בזה. עכשיו אנחנו יודעים שהיה פרצת אבטחה במערכת זו והחברה גמלה טוב מאוד את מגלה השגיאה.
פגיעות אבטחה עם "היכנס באמצעות אפל" יכולה הייתה לאפשר להאקרים לבצע שליטה מלאה בחשבונות המשתמשים אליהם הגישה דרך מערכת זו. למרבה המזל, הבאג אותר על ידי חוקר האבטחה בהודו בהבוק ג'יין.
בונוס של 100.000 דולר
הנה השפע הראשון בן 6 הספרות שלי מ @Apple. פוסט הבלוג יעלה בשבוע הבא. #באג באונטי pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) מאי 24, 2020
בפוסט בבלוג שפורסם בסוף השבוע ציין ג'יין כי הביא לאפל להיות מודעת לפגיעות באפריל. במהירות מקופרטינו הם אימתו את השגיאה והיא נפתרה. הודות לתוכנית הפרסים של אפל, מדען המחשבים זכה לתגמול דולר ארה"ב 100.000 כתודה על הגילוי החשוב שהתגלה.
השגיאה כללה בעיה בטוקני האינטרנט שנוצרו בעת השימוש במערכת «היכנס באמצעות Apple»בשירותי אינטרנט של צד שלישי. ג'יין ציין כי הפגיעות אפשרה לכל אחד לבקש אסימונים עבור כל מזהה דוא"ל של אפל. לאחר מכן הם יכולים לשמש כאסימונים לאימות הזהות. זה יאפשר לתוקפים לזייף אסימון על ידי קישורו לזהות אפל. מכאן, הזר יקבל גישה מלאה עם Apple iD שנפרצה.
מפתחים רבים שילבו את "כניסה עם אפל" במקום בו נדרש חשבון וכבר יש להם כניסות חברתיות אחרות. לדוגמה, פייסבוק, Dropbox, Spotify, Airbnb, Giphy וכו '
אפליקציות אלה היו יכולות להיות פגיעות להשתלטות מלאה על החשבון אם לא היו אמצעי אבטחה אחרים במהלך אימות המשתמש. לדברי ג'יין, אפל ערכה חקירה וקבעה זאת שום חשבון לא נפגע עקב כניסה זו לפני תיקון הפרת האבטחה.