Apple компьютерлік ғалымға қауіпсіздік қателігі туралы есеп бергені үшін 100.000 доллар сыйақы береді

Қауіпсіздік қатесі

Бірнеше апта бойы біз әр түрлі веб-сайттарда және үшінші тараптың интернет-қызметтерінде өзімізбен «кіре» алатынымызды байқадық Apple идентификаторы. Шындық сол: мен оны алғаш көргенімде мұрнымды мыжып жібердім және мен онша күлкілі болмадым. Бұл үшін менде Gmail-дің «керексіз» аккаунты бар, онда мен спам алсам да, маған қарамаймын, өйткені мен оған ешқашан қарамаймын.

Егер Apple компаниясы бұл жүйені орнатқан болса, оны қолданатын веб-сервистің пайдаланушы туралы мәлімет алмайтындығына немесе спам жіберуге мүмкіндік бермейтіндігіне көз жеткізді. Бірақ мен оны кез-келген жағдайда қолданғым келмейді. Енді біз болғанын білеміз қауіпсіздікті бұзу бұл жүйеде және компания қатені анықтаушыны өте жақсы марапаттады.

«Apple-ге кіру» қауіпсіздігінің осалдығы хакерлерге осы жүйе арқылы кіретін пайдаланушы тіркелгілерін толық басқаруға мүмкіндік беруі мүмкін. Бақытымызға орай, қатені Үндістандағы қауіпсіздік зерттеушісі байқады Бхавук Джейн.

$ 100.000 бонус

Демалыс күндері жарияланған блог жазбасында Джейн Apple-ді сәуір айында осалдығы туралы хабардар еткенін атап өтті. Купертинодан тез арада олар қатені тексерді және ол шешілді. Apple компаниясының қателіктерді жақсарту бағдарламасының арқасында компьютер маманы марапатталды 100.000 доллар табылған маңызды олжа үшін алғыс ретінде.

Қате жүйені пайдалану кезінде туындаған веб-таңбалауыштармен байланысты проблеманы тудырды «Apple арқылы кіріңіз»Үшінші тарап веб-қызметтерінде. Джейн бұл осалдық кез келген адамға кез-келген Apple электрондық пошта идентификаторы үшін жетондарды сұрауға мүмкіндік бергендігін атап өтті. Одан кейін оларды жеке басын растайтын белгілер ретінде пайдалануға болады. Бұл шабуылдаушыларға токенді Apple идентификаторымен байланыстыру арқылы оны ұрлауға мүмкіндік береді. Осы жерден бейтаныс адам бұзылған Apple iD-ге толық қол жеткізе алады.

Көптеген әзірлеушілер «Apple-ге кіріңіз», бұл жерде тіркелгі қажет және оларда басқа әлеуметтік логиндер бар. Мысалға, Facebook, Dropbox, Spotify, Airbnb, Giphy және т.б.

Егер қолданушы тексеріліп жатқан кезде басқа қауіпсіздік шаралары болмаса, бұл қолданбалар есептік жазбаны толықтай тартып алуы мүмкін еді. Джейннің айтуынша, Apple тергеу жүргізіп, оны анықтады ешқандай есептік жазба бұзылған жоқ қауіпсіздік бұзылуын жоймас бұрын осы логинге байланысты.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.