Apple винагороджує інформатика 100.000 XNUMX доларів за повідомлення про помилку безпеки

Toni Cortes

2 хвилин

Помилка безпеки

Протягом тижня ми спостерігали, що на різних веб-сайтах та сторонніх інтернет-сервісах ми можемо «увійти» за допомогою наших Apple ID. Правда полягає в тому, що коли я вперше побачила його, я зморщила ніс і мені було не дуже смішно. Для цього я вже маю "сміттєвий" акаунт Gmail, де мені все одно, чи отримую я спам, бо я ніколи на нього не дивлюся.

Якщо правда, коли Apple створила цю систему, вона переконалася, що веб-служба, яка її використовує, не отримує даних користувача та не дозволяє їй надсилати спам. Але я про всяк випадок не маю наміру цим користуватися. Тепер ми знаємо, що був порушення безпеки в цій системі і компанія дуже добре винагородила першовідкривача помилки.

Уразливість системи безпеки за допомогою "Увійти в Apple" могла дозволити хакерам повністю контролювати облікові записи користувачів, доступ до яких здійснюється через цю систему. На щастя, помилку помітив індійський дослідник безпеки Бхавук Джейн.

Бонус у 100.000 XNUMX доларів

У дописі в блозі, опублікованому на вихідних, Джейн зазначив, що в квітні він поінформував Apple про вразливість. Швидко з Купертіно вони перевірили помилку, і вона була вирішена. Завдяки програмі Apple Bounty, комп’ютерний спеціаліст був нагороджений Долар США 100.000 як подяка за знайдену важливу знахідку.

Помилка пов’язана з проблемою з веб-маркерами, що генеруються під час використання системи «Увійдіть в Apple»У сторонніх веб-сервісах. Джейн зазначив, що вразливість дала можливість кожному вимагати токени для будь-якого ідентифікатора електронної пошти Apple. Потім їх можна було використовувати як маркери для перевірки ідентичності. Це дозволило б зловмисникам підробляти маркер, пов'язуючи його з ідентифікатором Apple. Звідси незнайомець матиме повний доступ із зламаним Apple iD.

Багато розробників інтегрували "Увійти в Apple", де потрібен обліковий запис, і вони вже мають інші соціальні логіни. Наприклад, Facebook, Dropbox, Spotify, Airbnb, Giphy і т.п.

Ці програми могли б бути вразливими до повного поглинання облікового запису, якби не було інших заходів безпеки під час перевірки користувача. За словами Джейна, Apple провела розслідування і визначила це жоден обліковий запис не скомпрометовано завдяки цьому логіну перед усуненням порушення безпеки.


Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.