Apple награждает компьютерного ученого 100.000 долларов за сообщение об ошибке безопасности

Toni Cortes

2 минут

Ошибка безопасности

В течение нескольких недель мы наблюдали, что на разных веб-сайтах и ​​сторонних интернет-сервисах мы можем «войти» с помощью наших Apple ID. Правда в том, что в первый раз, когда я его увидел, я наморщил нос и мне было не очень смешно. Для этих вещей у меня уже есть «нежелательная» учетная запись Gmail, и мне все равно, получу ли я спам, потому что я никогда не смотрю на нее.

Если это правда, что при установке этой системы Apple удостоверилась, что веб-служба, которая ее использует, не получает пользовательские данные и не разрешает рассылать спам. Но я, на всякий случай, пользоваться не собираюсь. Теперь мы знаем, что была Нарушение безопасности в этой системе, и компания очень хорошо наградила первооткрывателя ошибки.

Уязвимость системы безопасности с «Войти через Apple» могла позволить хакерам осуществлять полный контроль над учетными записями пользователей, доступ к которым осуществляется через эту систему. К счастью, баг был обнаружен исследователем безопасности из Индии. Бхавук Джайн.

Бонус в размере 100.000 XNUMX долларов США

В сообщении в блоге, опубликованном на выходных, Джайн отметил, что в апреле он сообщил Apple об уязвимости. Быстро из Купертино они подтвердили ошибку, и она была решена. Благодаря программе Apple bug bounty, ученый-компьютерщик был награжден Доллар США 100.000 в качестве благодарности за обнаруженную важную находку.

Ошибка связана с проблемой веб-токенов, генерируемых при использовании системы «Войти через Apple»В сторонних веб-службах. Джейн отметил, что уязвимость позволяет любому пользователю запрашивать токены для любого идентификатора электронной почты Apple. Затем их можно было использовать в качестве токенов для проверки личности. Это позволит злоумышленникам подделать токен, связав его с Apple ID. Отсюда у незнакомца будет полный доступ со взломанным Apple iD.

Многие разработчики интегрировали «Войти через Apple», где требуется учетная запись и у них уже есть другие учетные записи в социальных сетях. Например, Facebook, Dropbox, Spotify, Airbnb, Giphy и так далее

Эти приложения могли быть уязвимы для полного захвата учетной записи, если бы не было других мер безопасности, пока пользователь проверялся. По словам Джайна, Apple провела расследование и установила, что ни один аккаунт не был взломан из-за этого входа в систему перед исправлением нарушения безопасности.


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.