Аппле награђује информатичара са 100.000 америчких долара за пријаву безбедносне грешке

Toni Cortes

КСНУМКС Минутос

Сигурносна грешка

Неколико недеља смо приметили да се на различитим веб локацијама и независним Интернет услугама можемо „пријавити“ са нашим Аппле ИД. Истина је да сам га први пут кад сам га наборала на нос и нисам била баш смешна. За ове ствари већ имам „смеће“ Гмаил налога, где ме није брига да ли ћу добити нежељену пошту јер га никада не гледам.

Ако је тачно да је Аппле, када је инсталирао овај систем, осигурао да веб услуга која га користи не добија корисничке податке нити му дозвољава слање нежељене поште. Али ја, за сваки случај, не намеравам да га користим. Сада знамо да је постојао безбедност повреде у овом систему и компанија је врло добро наградила откривача грешке.

Безбедносна рањивост помоћу „Пријави се са Аппле-ом“ могла је да дозволи хакерима да изврше потпуну контролу над корисничким налозима којима се приступа преко овог система. Срећом, грешку је приметио индијски истраживач безбедности Бхавук Јаин.

Бонус од 100.000 долара

У објави на блогу објављеној током викенда, Јаин је приметио да је Аппле у априлу упознао рањивост. Из Купертина су брзо верификовали грешку и она је решена. Захваљујући Апплеовом програму за награде за грешке, информатичар је награђен Амерички долар КСНУМКС као захвалност за откривени важан налаз.

Грешка је укључивала проблем са веб токенима генерисаним при коришћењу система «Пријавите се помоћу Аппле-а»У независним веб услугама. Јаин је приметио да је рањивост омогућила свима да затраже токене за било који Аппле ИД е-поште. Тада би се могли користити као жетони за верификацију идентитета. То би омогућило нападачима да лажирају токен повезујући га са Аппле ИД-ом. Одавде ће странац имати пуни приступ са хакованим Аппле иД-ом.

Многи програмери су интегрисали „Пријави се са Аппле-ом“, где је потребан налог и они већ имају друге друштвене пријаве. На пример, Фацебоок, Дропбок, Спотифи, Аирбнб, Гипхи итд

Ове апликације су могле бити рањиве на потпуно преузимање налога да није било других безбедносних мера док је корисник био верификован. Према Јаин-у, Аппле је спровео истрагу и то утврдио ниједан налог није угрожен због ове пријаве пре отклањања кршења безбедности.


Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.