몇 주 동안 우리는 다른 웹 사이트와 제 XNUMX 자 인터넷 서비스에서 우리와 함께 "로그인"할 수 있음을 발견했습니다. 애플 ID. 사실 처음 그를봤을 때 코에 주름이 생기고별로 웃기지 않았다. 이런 일들을 위해 이미 "정크"Gmail 계정이 있는데, 스팸을 보지 않기 때문에 스팸을 받아도 상관 없습니다.
Apple이이 시스템을 설치했을 때이를 사용하는 웹 서비스가 사용자 데이터를 얻거나 스팸을 보내도록 허용하지 않는지 확인한 것이 사실 인 경우. 하지만 혹시라도 사용할 생각은 없습니다. 이제 우리는 보안 위반 이 시스템에서 회사는 오류 발견 자에게 매우 잘 보답했습니다.
"Apple로 로그인"의 보안 취약점으로 인해 해커가이 시스템을 통해 액세스 한 사용자 계정을 완전히 제어 할 수있었습니다. 다행히도 인도에 기반을 둔 보안 연구원이 버그를 발견했습니다. 바브 하크자인.
$ 100.000 보너스
내 첫 6 자리 바운티는 @사과. 블로그 게시물은 다음 주에 게시됩니다. #bugbounty 트윗 담아 가기
-Bhavuk Jain (@ bhavukjain1) 2020 년 5 월 24 일
주말에 게시 된 블로그 게시물에서 Jain은 XNUMX 월에 Apple에 취약점을 알렸다 고 언급했습니다. Cupertino에서 신속하게 오류를 확인하고 해결되었습니다. Apple의 버그 바운티 프로그램 덕분에 컴퓨터 과학자는 다음과 같은 보상을 받았습니다. 달러 100.000 중요한 발견에 감사드립니다.
오류는«시스템을 사용할 때 생성 된 웹 토큰에 문제가 있습니다.Apple로 로그인»타사 웹 서비스에서. Jain은 취약점으로 인해 누구나 Apple 이메일 ID에 대한 토큰을 요청할 수 있다고 언급했습니다. 그런 다음 신원을 확인하기위한 토큰으로 사용할 수 있습니다. 이렇게하면 공격자가 토큰을 Apple ID에 연결하여 스푸핑 할 수 있습니다. 여기에서 낯선 사람은 해킹 된 Apple iD에 대한 모든 권한을 갖게됩니다.
많은 개발자가 계정이 필요한 "Apple로 로그인"을 통합했으며 이미 다른 소셜 로그인이 있습니다. 예를 들면 페이스북, 드롭박스, 스포티파이, 에어비앤비, 기피 등
이러한 앱은 사용자가 확인되는 동안 다른 보안 조치가없는 경우 전체 계정 탈취에 취약 할 수 있습니다. Jain에 따르면 Apple은 조사를 수행하고 도용 된 계정이 없습니다. 보안 위반을 수정하기 전에이 로그인으로 인해.