Niekoľko týždňov sme pozorovali, že na rôznych webových stránkach a v internetových službách tretích strán sa môžeme „prihlásiť“ pomocou nášho Apple ID. Pravda je taká, že keď som ho prvýkrát uvidela, pokrčila som nos a nebola som veľmi vtipná. Pre tieto veci už mám „nevyžiadaný“ účet Gmail, kde mi je úplne jedno, či dostanem spam, pretože sa na to nikdy nepozerám.
Ak je pravda, že keď má Apple nainštalovaný tento systém, ubezpečil sa, že webová služba, ktorá ho používa, nezíska údaje používateľa ani mu neumožňuje odosielať spam. Ale pre každý prípad to nemám v úmysle použiť. Teraz vieme, že tu bola porušenie bezpečnosti v tomto systéme a spoločnosť objaviteľa chyby veľmi dobre odmenila.
Zraniteľnosť zabezpečenia pomocou funkcie „Prihlásiť sa pomocou Apple“ mohla hackerom umožniť vykonávať úplnú kontrolu nad používateľskými účtami, ku ktorým má prístup tento systém. Túto chybu našťastie spozoroval indický bezpečnostný výskumník Bhavuk džinizmus.
Bonus 100.000 XNUMX dolárov
Tu je moja prvá 6-miestna odmena z @Apple. Príspevok na blogu bude k dispozícii budúci týždeň. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) Môže 24, 2020
V blogovom príspevku zverejnenom cez víkend Jain poznamenal, že spoločnosť Apple o zraniteľnosti informovala v apríli. Rýchlo od Cupertina chybu overili a bolo vyriešené. Vďaka programu Apple bug bounty bol počítačový vedec odmenený Americký dolár 100.000 ako vďaka za objavený dôležitý nález.
Chyba zahŕňala problém s webovými tokenmi generovanými pri použití «Prihláste sa pomocou Apple»Vo webových službách tretích strán. Jain poznamenal, že zraniteľnosť umožnila komukoľvek vyžadovať tokeny pre akékoľvek ID e-mailu Apple. Potom by sa mohli použiť ako tokeny na overenie totožnosti. To by útočníkom umožnilo spoofovať token prepojením s Apple ID. Od tejto chvíle bude mať cudzinec plný prístup s hacknutým Apple iD.
Mnoho vývojárov integrovalo funkciu „Prihlásiť sa pomocou Apple“, kde je potrebný účet, a už majú ďalšie sociálne prihlasovacie údaje. Napríklad, Facebook, Dropbox, Spotify, Airbnb, Giphy a tak ďalej
Tieto aplikácie mohli byť zraniteľné pri úplnom prevzatí účtu, ak by počas overovania používateľa neboli zavedené žiadne ďalšie bezpečnostné opatrenia. Podľa Jaina Apple uskutočnil vyšetrovanie a rozhodol to nebol ohrozený žiadny účet kvôli tomuto prihláseniu pred opravou narušenia bezpečnosti.