Apple nagradi računalniškega znanstvenika s 100.000 USD za prijavo varnostne napake

Varnostna napaka

Nekaj ​​tednov opažamo, da se lahko na različnih spletnih mestih in tujih internetnih storitvah "prijavimo" s svojimi Apple ID. Resnica je, da sem ga prvič, ko sem ga videla, nagubala nosu in nisem bila prav smešna. Za te stvari že imam "neželeni" Gmail račun, kjer me ne zanima, če dobim neželeno pošto, ker je nikoli ne pogledam.

Če je res, da je Apple, ko je namestil ta sistem, poskrbel, da spletna storitev, ki ga uporablja, ne pridobiva uporabniških podatkov ali mu dovoljuje pošiljanja neželene pošte. Toda za vsak slučaj ga ne nameravam uporabiti. Zdaj vemo, da je obstajal kršitev varnosti v tem sistemu in je podjetje zelo dobro nagradilo odkritelja napake.

Varnostna ranljivost z možnostjo »Prijavi se z Apple« bi hekerjem lahko omogočila popoln nadzor nad uporabniškimi računi, dostopnimi prek tega sistema. Na srečo je napako opazil indijski raziskovalec varnosti Bhavuk Jain.

Bonus 100.000 USD

V objavi v blogu, objavljeni konec tedna, je Jain opozoril, da je Apple o ranljivosti obvestil aprila. Iz Cupertina so hitro preverili napako in je bila odpravljena. Zahvaljujoč Applovemu programu nagrajevanja za napake je bil računalnik nagrajen z Ameriški dolar 100.000 v zahvalo za odkrito pomembno najdbo.

Napaka je vključevala težavo s spletnimi žetoni, ustvarjenimi med uporabo sistema «Prijavite se v Apple»V tujih spletnih storitvah. Jain je opozoril, da je ranljivost vsem omogočila, da zahtevajo žetone za kateri koli Apple-ov ID e-pošte. Nato bi jih lahko uporabili kot žetone za preverjanje identitete. To bi omogočilo napadalcem, da ponarejajo žeton, tako da ga povežejo z Apple ID. Od tu bo imel neznanec popoln dostop z vdrtem Apple iD.

Mnogi razvijalci so integrirali »Prijava z Appleom«, kjer je potreben račun in že imajo druge družabne prijave. Na primer Facebook, Dropbox, Spotify, Airbnb, Giphy in tako naprej

Te aplikacije bi lahko bile ranljive za popoln prevzem računa, če med preverjanjem uporabnika ne bi obstajali nobeni drugi varnostni ukrepi. Po Jainovih besedah ​​je Apple opravil preiskavo in to ugotovil noben račun ni bil ogrožen zaradi te prijave pred odpravo kršitve varnosti.


Vsebina članka je v skladu z našimi načeli uredniška etika. Če želite prijaviti napako, kliknite tukaj.

Bodite prvi komentar

Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.