Od kilku tygodni obserwujemy, że w różnych witrynach i serwisach internetowych podmiotów trzecich możemy „zalogować się” za pomocą naszego Apple ID. Prawda jest taka, że kiedy go pierwszy raz zobaczyłem, zmarszczyłem nos i nie byłem zbyt zabawny. W przypadku tych rzeczy mam już „śmieciowe” konto Gmail, gdzie nie obchodzi mnie, czy dostaję spam, ponieważ nigdy na niego nie patrzę.
Jeśli prawdą jest, że gdy Apple zainstalował ten system, upewnił się, że usługa sieciowa, która go używa, nie uzyskuje danych użytkownika ani nie zezwala na wysyłanie spamu. Ale ja na wszelki wypadek nie zamierzam go używać. Teraz wiemy, że był plik naruszenie bezpieczeństwa w tym systemie i firma bardzo dobrze wynagrodziła odkrywcę błędu.
Luka w zabezpieczeniach „Zaloguj się przez Apple” mogła pozwolić hakerom na pełną kontrolę kont użytkowników, do których uzyskano dostęp za pośrednictwem tego systemu. Na szczęście błąd został zauważony przez badacza bezpieczeństwa z Indii Bhavuk dżin.
100.000 XNUMX $ bonusu
Oto moja pierwsza 6-cyfrowa nagroda od @Jabłko. Post na blogu pojawi się w przyszłym tygodniu. #błąd pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) 24 maja 2020 r.
W blogu opublikowanym w weekend Jain zauważył, że w kwietniu poinformował Apple o luce w zabezpieczeniach. Szybko z Cupertino zweryfikowali błąd i został on rozwiązany. Dzięki programowi Apple Bounty, informatyk został nagrodzony Dolarów 100.000 jako podziękowanie za odkrycie ważnego znaleziska.
Błąd dotyczył problemu z tokenami sieciowymi wygenerowanymi podczas korzystania z systemu «Zaloguj się przez Apple»W usługach internetowych innych firm. Jain zauważył, że luka umożliwia każdemu zażądanie tokenów dla dowolnego identyfikatora e-mail Apple. Można ich następnie użyć jako tokenów do weryfikacji tożsamości. Pozwoliłoby to atakującym na sfałszowanie tokena poprzez powiązanie go z Apple ID. Stąd nieznajomy będzie miał pełny dostęp do zhakowanego Apple iD.
Wielu programistów zintegrowało „Zaloguj się przez Apple”, gdy wymagane jest konto i mają już inne loginy społecznościowe. Na przykład, Facebook, Dropbox, Spotify, Airbnb, Giphy itd.
Te aplikacje mogłyby być podatne na przejęcie pełnego konta, gdyby nie istniały inne środki bezpieczeństwa podczas weryfikacji użytkownika. Według Jain, Apple przeprowadził dochodzenie i to ustalił żadne konto nie zostało przejęte z powodu tego logowania przed naprawieniem naruszenia bezpieczeństwa.