Топ-новости

Apple заплатила исследователю 100 тыс. долларов за найденную в системе авторизации опасную уязвимость

Apple заплатила исследователю 100 тыс. долларов за найденную в системе авторизации опасную уязвимость
Apple заплатила исследователю 100 тыс. долларов за найденную в системе авторизации опасную уязвимость

Apple заплатила исследователю 100 тыс. долларов за найденную в системе авторизации опасную уязвимость
wolterke / DepositPhotos

Компания Apple выплатила 100 тыс. долларов специалисту по кибербезопасности по имени Бавук Джайн, который сообщил Apple о критической уязвимости в системе авторизации «Войти через Apple».

Суть уязвимости Джайн подробно описал на своем сайте. Она заключалась в том, что хакеры могли получить доступ к аккаунтам пользователей в сторонних сервисах, если те входили, используя аккаунт в Apple. Такая возможность взлома существовала, поскольку система Apple после ввода данных Apple ID не проверяла, запрашивает ли ключ JSON Web Token (JWT) тот же пользователь.

Как обнаружил исследователь, из-за отсутствия проверки, серверы Apple можно было заставить генерировать корректные токены на аккаунты жертв. Сторонние сервисы принимали их, а значит злоумышленник мог получить доступ к аккаунту, если пользователь использовал вход через Apple, пишет TJ. Проблема не затрагивала сами аккаунты Apple ID, но защитить сторонние аккаунты не могла даже функция подстановки случайного адреса электронной почты на серверах компании вместо настоящих данных пользователей

В Apple сообщили Джайну об устранении уязвимости, а также отметили, что проверка не обнаружила ни одного случая практического использования уязвимости. Полученное экспертом вознаграждение является максимально возможным в рамках программы Apple по поощрению специалистов, нашедших уязвимости (bug bounty).

Функция «Войти через Apple» была представлена в прошлом году на конференции для разработчиков WWDC. В ходе той презентации в компании подчеркивали безопасность системы. Так, в Apple отмечали, что она позволяет авторизовываться в сторонних сервисах с помощью биометрии Face ID и Touch ID, не передавая личных данных пользователей. После этого возможность авторизации при помощи этой функции внедрили многие сайты и сервисы.

Related posts
Топ-новости

Телеведущая Регина Тодоренко неожиданно сменила имидж

Топ-новости

В Москве задержаны 15 подозреваемых в сбыте сильнодействующих средств

Топ-новости

Батыргазиев расстроен, что его победный бой за пояс WBO European оказался скоротнечным

Топ-новости

"История наша уходит". Как пенсионерам спасти свое село от забвения

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *