Selama seminggu, kami melihat bahawa di laman web dan perkhidmatan internet pihak ketiga yang berlainan, kami dapat "log masuk" dengan kami ID Apple. Kebenarannya adalah bahawa pertama kali saya melihatnya, saya mengerutkan hidung dan saya tidak begitu lucu. Untuk perkara-perkara ini, saya sudah mempunyai akaun Gmail "sampah", di mana saya tidak keberatan spam menghubungi saya kerana saya tidak pernah melihatnya.
Sekiranya benar bahawa ketika Apple memasang sistem ini, ia telah memastikan bahawa perkhidmatan web yang menggunakannya tidak memperoleh data pengguna atau membiarkannya mengirim spam. Tetapi saya, sekiranya berjaga-jaga, tidak bermaksud menggunakannya. Sekarang kita tahu bahawa ada pelanggaran keselamatan dalam sistem ini dan syarikat telah memberikan penghargaan kepada penemu kesalahan tersebut.
Kerentanan keselamatan dengan "Log masuk dengan Apple" mungkin membolehkan penggodam menjalankan kawalan penuh terhadap akaun pengguna yang diakses melalui sistem ini. Nasib baik, pepijat itu dilihat oleh penyelidik keselamatan yang berpangkalan di India Bhavuk jain.
Bonus $ 100.000
Inilah karunia 6 digit pertama saya dari @Epal. Catatan blog akan meningkat minggu depan. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) Semoga 24, 2020
Dalam catatan blog yang disiarkan pada hujung minggu, Jain menyatakan bahawa ia membuat Apple menyedari kerentanan pada bulan April. Dengan pantas dari Cupertino mereka mengesahkan kesalahan dan ia telah diselesaikan. Terima kasih kepada program bug bounty Apple, saintis komputer telah mendapat penghargaan Dolar AS 100.000 sebagai terima kasih atas penemuan penting yang dijumpai.
Kesalahan tersebut melibatkan masalah dengan token web yang dihasilkan semasa menggunakan sistem «Log masuk dengan Apple»Dalam perkhidmatan web pihak ketiga. Jain menyatakan bahawa kerentanan itu memungkinkan sesiapa sahaja meminta token untuk sebarang ID e-mel Apple. Mereka kemudian dapat digunakan sebagai token untuk mengesahkan identiti. Ini akan membolehkan penyerang memalsukan token dengan menghubungkannya ke Apple ID. Dari sini, orang asing akan mendapat akses penuh dengan iD Apple yang digodam.
Banyak pembangun telah menggabungkan "Log masuk dengan Apple" di mana akaun diperlukan dan mereka sudah mempunyai log masuk sosial yang lain. Sebagai contoh, Facebook, Dropbox, Spotify, Airbnb, Giphy dan lain-lain.
Aplikasi ini mungkin rentan terhadap pengambilalihan akun sepenuhnya jika tidak ada langkah keselamatan lain ketika pengguna sedang disahkan. Menurut Jain, Apple melakukan siasatan dan menentukan bahawa tiada akaun yang dikompromikan kerana log masuk ini sebelum memperbaiki pelanggaran keselamatan.