Timp de o săptămână, am observat că în diferite site-uri web și servicii de internet terțe ne putem „conecta” la serviciul nostru ID Apple. Adevărul este că prima dată când l-am văzut, mi-am încrețit nasul și nu am fost foarte amuzant. Pentru aceste lucruri am deja un cont Gmail „nedorit”, unde nu-mi pasă dacă primesc spam pentru că nu mă uit niciodată la el.
Dacă este adevărat că, atunci când Apple a instalat acest sistem, s-a asigurat că serviciul web care îl folosește nu obține date de utilizator și nici nu îi permite să trimită spam. Dar eu, pentru orice eventualitate, nu intenționez să-l folosesc. Acum știm că a existat o bresa de securitate în acest sistem și compania a recompensat foarte bine descoperitorul erorii.
O vulnerabilitate de securitate cu „Conectați-vă cu Apple” ar fi putut permite hackerilor să efectueze controlul complet al conturilor de utilizator accesate prin acest sistem. Din fericire, eroarea a fost văzută de cercetătorul în securitate din India Bhavuk jain.
Un bonus de 100.000 USD
Iată recompensa mea din 6 cifre de la @Măr. Postarea pe blog va fi activată săptămâna viitoare. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) 24 Mai, 2020
Într-o postare pe blog postată în weekend, Jain a menționat că a făcut Apple conștient de vulnerabilitate în aprilie. Rapid de la Cupertino au verificat eroarea și a fost rezolvată. Datorită programului de recompensare a bug-urilor Apple, informaticianul a fost recompensat Dolari 100.000 ca mulțumire pentru descoperirea importantă descoperită.
Eroarea a implicat o problemă cu jetoanele web generate atunci când se utilizează sistemul «Conectați-vă cu Apple»În serviciile web de la terți. Jain a menționat că vulnerabilitatea a făcut posibilă oricui să solicite jetoane pentru orice ID de e-mail Apple. Acestea ar putea fi folosite ca jetoane pentru a verifica identitatea. Acest lucru ar permite atacatorilor să falsifice un jeton legându-l la un ID Apple. De aici, străinul va avea acces complet cu Apple iD piratat.
Mulți dezvoltatori au integrat „Conectați-vă cu Apple” unde este necesar un cont și au deja alte conectări sociale. De exemplu, Facebook, Dropbox, Spotify, Airbnb, Giphy etc
Aceste aplicații ar fi putut fi vulnerabile la preluarea completă a contului dacă nu au existat alte măsuri de securitate în timp ce un utilizator a fost verificat. Potrivit lui Jain, Apple a efectuat o anchetă și a stabilit că niciun cont nu a fost compromis datorită acestui login înainte de a remedia încălcarea securității.