Bir hafta boyunca, farklı web sitelerinde ve üçüncü taraf internet hizmetlerinde bizim ile "giriş yapabildiğimizi" gözlemledik. Apple Kimliği. Gerçek şu ki, onu ilk gördüğümde burnumu kırıştırdım ve pek komik değildim. Bu tür şeyler için zaten bir "önemsiz" Gmail hesabım var, spam almam umurumda değil çünkü hiç bakmıyorum.
Apple'ın bu sistemi kurduğu doğruysa, kendisini kullanan web hizmetinin kullanıcı verilerini almamasını veya spam göndermesine izin vermemesini sağlamıştır. Ama ben, her ihtimale karşı, onu kullanmak niyetinde değilim. Şimdi bir olduğunu biliyoruz güvenlik ihlali bu sistemde ve şirket hatayı keşfedenleri çok iyi ödüllendirdi.
"Apple ile Giriş Yap" ile ilgili bir güvenlik açığı, bilgisayar korsanlarının bu sistem üzerinden erişilen kullanıcı hesaplarının tam denetimini gerçekleştirmesine olanak verebilirdi. Neyse ki, hata Hindistan merkezli güvenlik araştırmacısı tarafından tespit edildi. Bhavuk jain.
100.000 $ Bonus
İşte ilk 6 basamaklı ödülüm @Elma. Blog yazısı önümüzdeki hafta yayınlanacak. #bugün pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) Mayıs 24, 2020
Hafta sonu yayınlanan bir blog gönderisinde Jain, Apple'ı Nisan ayında güvenlik açığından haberdar ettiğini belirtti. Cupertino'dan çabucak hatayı doğruladılar ve çözüldü. Apple'ın hata ödül programı sayesinde, bilgisayar bilimcisi ödüllendirildi ABD doları 100.000 Keşfedilen önemli buluntu için teşekkürler.
Hata, sistem kullanılırken oluşturulan web token'larıyla ilgili bir sorunu içeriyordu «Apple ile giriş yapın»Üçüncü taraf web hizmetlerinde. Jain, güvenlik açığının herkesin herhangi bir Apple e-posta kimliği için belirteç talep etmesini mümkün kıldığını belirtti. Daha sonra kimliği doğrulamak için belirteç olarak kullanılabilirler. Bu, saldırganların bir Apple kimliğine bağlayarak bir belirteci taklit etmesine olanak tanır. Buradan yabancı, saldırıya uğramış Apple kimliğine tam erişime sahip olacak.
Birçok geliştirici, bir hesabın gerekli olduğu ve zaten başka sosyal oturum açma bilgilerine sahip olduğu "Apple ile Giriş Yap" özelliğini entegre etti. Örneğin, Facebook, Dropbox, Spotify, Airbnb, Giphy vb.
Bir kullanıcı doğrulanırken başka bir güvenlik önlemi yoksa, bu uygulamalar tam bir hesap devrine açık olabilirdi. Jain'e göre Apple bir soruşturma yürüttü ve şunu belirledi: hiçbir hesabın güvenliği ihlal edilmedi güvenlik ihlalini düzeltmeden önce bu oturum açma nedeniyle.