Nekaj tednov opažamo, da se lahko na različnih spletnih mestih in tujih internetnih storitvah "prijavimo" s svojimi Apple ID. Resnica je, da sem ga prvič, ko sem ga videla, nagubala nosu in nisem bila prav smešna. Za te stvari že imam "neželeni" Gmail račun, kjer me ne zanima, če dobim neželeno pošto, ker je nikoli ne pogledam.
Če je res, da je Apple, ko je namestil ta sistem, poskrbel, da spletna storitev, ki ga uporablja, ne pridobiva uporabniških podatkov ali mu dovoljuje pošiljanja neželene pošte. Toda za vsak slučaj ga ne nameravam uporabiti. Zdaj vemo, da je obstajal kršitev varnosti v tem sistemu in je podjetje zelo dobro nagradilo odkritelja napake.
Varnostna ranljivost z možnostjo »Prijavi se z Apple« bi hekerjem lahko omogočila popoln nadzor nad uporabniškimi računi, dostopnimi prek tega sistema. Na srečo je napako opazil indijski raziskovalec varnosti Bhavuk jain.
Bonus 100.000 USD
Tu je moja prva 6-mestna nagrada @Apple. Objava v spletnem dnevniku bo objavljena prihodnji teden. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) Maj 24, 2020
V objavi v blogu, objavljeni konec tedna, je Jain opozoril, da je Apple o ranljivosti obvestil aprila. Iz Cupertina so hitro preverili napako in je bila odpravljena. Zahvaljujoč Applovemu programu nagrajevanja za napake je bil računalnik nagrajen z Ameriški dolar 100.000 v zahvalo za odkrito pomembno najdbo.
Napaka je vključevala težavo s spletnimi žetoni, ustvarjenimi med uporabo sistema «Prijavite se v Apple»V tujih spletnih storitvah. Jain je opozoril, da je ranljivost vsem omogočila, da zahtevajo žetone za kateri koli Apple-ov ID e-pošte. Nato bi jih lahko uporabili kot žetone za preverjanje identitete. To bi omogočilo napadalcem, da ponarejajo žeton, tako da ga povežejo z Apple ID. Od tu bo imel neznanec popoln dostop z vdrtem Apple iD.
Mnogi razvijalci so integrirali »Prijava z Appleom«, kjer je potreben račun in že imajo druge družabne prijave. Na primer Facebook, Dropbox, Spotify, Airbnb, Giphy in tako naprej
Te aplikacije bi lahko bile ranljive za popoln prevzem računa, če med preverjanjem uporabnika ne bi obstajali nobeni drugi varnostni ukrepi. Po Jainovih besedah je Apple opravil preiskavo in to ugotovil noben račun ni bil ogrožen zaradi te prijave pred odpravo kršitve varnosti.