Протягом тижня ми спостерігали, що на різних веб-сайтах та сторонніх інтернет-сервісах ми можемо «увійти» за допомогою наших Apple ID. Правда полягає в тому, що коли я вперше побачила його, я зморщила ніс і мені було не дуже смішно. Для цього я вже маю "сміттєвий" акаунт Gmail, де мені все одно, чи отримую я спам, бо я ніколи на нього не дивлюся.
Якщо правда, коли Apple створила цю систему, вона переконалася, що веб-служба, яка її використовує, не отримує даних користувача та не дозволяє їй надсилати спам. Але я про всяк випадок не маю наміру цим користуватися. Тепер ми знаємо, що був порушення безпеки в цій системі і компанія дуже добре винагородила першовідкривача помилки.
Уразливість системи безпеки за допомогою "Увійти в Apple" могла дозволити хакерам повністю контролювати облікові записи користувачів, доступ до яких здійснюється через цю систему. На щастя, помилку помітив індійський дослідник безпеки Бхавук Джейн.
Бонус у 100.000 XNUMX доларів
Ось моя перша 6-значна нагорода від @ Аппл. Повідомлення в блозі з’являться наступного тижня. #помилка pic.twitter.com/QygxvtGYJb
- Бхавук Джайн (@ bhavukjain1) Травень 24, 2020
У дописі в блозі, опублікованому на вихідних, Джейн зазначив, що в квітні він поінформував Apple про вразливість. Швидко з Купертіно вони перевірили помилку, і вона була вирішена. Завдяки програмі Apple Bounty, комп’ютерний спеціаліст був нагороджений Долар США 100.000 як подяка за знайдену важливу знахідку.
Помилка пов’язана з проблемою з веб-маркерами, що генеруються під час використання системи «Увійдіть в Apple»У сторонніх веб-сервісах. Джейн зазначив, що вразливість дала можливість кожному вимагати токени для будь-якого ідентифікатора електронної пошти Apple. Потім їх можна було використовувати як маркери для перевірки ідентичності. Це дозволило б зловмисникам підробляти маркер, пов'язуючи його з ідентифікатором Apple. Звідси незнайомець матиме повний доступ із зламаним Apple iD.
Багато розробників інтегрували "Увійти в Apple", де потрібен обліковий запис, і вони вже мають інші соціальні логіни. Наприклад, Facebook, Dropbox, Spotify, Airbnb, Giphy і т.п.
Ці програми могли б бути вразливими до повного поглинання облікового запису, якби не було інших заходів безпеки під час перевірки користувача. За словами Джейна, Apple провела розслідування і визначила це жоден обліковий запис не скомпрометовано завдяки цьому логіну перед усуненням порушення безпеки.