Sa loob ng isang linggo, napagmasdan namin na sa iba't ibang mga website at serbisyo sa internet ng mga third party maaari kaming "mag-log in" kasama ang aming Apple ID. Ang totoo ay sa unang pagkakataong nakita ko siya, kumunot ang aking ilong at hindi ako masyadong nakakatawa. Para sa mga bagay na ito mayroon na akong isang "basura" na account sa Gmail, kung saan hindi ko alintana na maabot ako ng spam dahil hindi ko ito tiningnan.
Kung totoo na kapag na-install ng Apple ang sistemang ito, natiyak nito na ang serbisyo sa web na gumagamit nito ay hindi makakakuha ng data ng gumagamit o pinapayagan itong magpadala ng spam. Ngunit ako, kung sakali, ay hindi balak na gamitin ito. Ngayon alam natin na mayroong a paglabag sa seguridad sa sistemang ito at gantimpala ng kumpanya ang nagtuklas ng error nang mahusay.
Ang isang kahinaan sa seguridad na may "Mag-sign in sa Apple" ay maaaring pinapayagan ang mga hacker na isagawa ang buong kontrol ng mga account ng gumagamit na na-access sa pamamagitan ng sistemang ito. Sa kabutihang palad, ang bug ay nakita ng mananaliksik sa seguridad na nakabase sa India Bhavuk jain.
Isang $ 100.000 na Bonus
Narito ang aking unang 6 na digit na biyaya mula sa @Apple. Ang post sa blog ay tatayo sa susunod na linggo. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) Mayo 24, 2020
Sa isang post sa blog na nai-post sa katapusan ng linggo, sinabi ni Jain na pinahalata niya sa Apple ang kahinaan sa Abril. Mabilis mula sa Cupertino na-verify nila ang error at nalutas ito. Salamat sa programa ng bug ng bug ng Apple, ang computer scientist ay ginantimpalaan US dollar 100.000 bilang salamat sa mahalagang tuklas na natuklasan.
Ang error ay kasangkot sa isang problema sa mga token sa web na nabuo kapag ginagamit ang system «Mag-sign in sa Apple»Sa mga serbisyo sa web ng third-party. Sinabi ni Jain na ang kahinaan ay ginawang posible para sa sinuman na humiling ng mga token para sa anumang Apple email ID. Maaari silang magamit bilang mga token upang mapatunayan ang pagkakakilanlan. Papayagan nitong mag-spoof ng isang token sa pamamagitan ng pag-link nito sa isang Apple ID. Mula dito, ang estranghero ay magkakaroon ng ganap na pag-access sa na-hack na Apple iD.
Maraming mga tagabuo ang nagsama ng "Mag-sign in sa Apple" kung saan kinakailangan ang isang account at mayroon na silang ibang mga pag-log in sa lipunan. Halimbawa, Facebook, Dropbox, Spotify, Airbnb, Giphy at iba pa
Ang mga app na ito ay maaaring maging mahina laban sa isang buong pagkuha ng account kung walang ibang mga hakbang sa seguridad sa lugar habang ang isang gumagamit ay napatunayan. Ayon kay Jain, nagsagawa ang Apple ng isang pagsisiyasat at natutukoy iyon walang account na nakompromiso dahil sa pag-login na ito bago ayusin ang paglabag sa seguridad.