Indiese kuberveiligheidsnavorser Bhavuk Jain het 'n beloning van $100 000 ontvang omdat hy 'n gevaarlike kwesbaarheid ontdek het in Meld aan met Apple. Hierdie kenmerk word deur Apple-toesteleienaars gebruik om veilig by derdeparty-toepassings en -dienste aan te meld met 'n identifiseerder.
Ons praat van 'n kwesbaarheid wat aanvallers kan toelaat om beheer oor slagoffers se rekeninge te neem in toepassings en dienste wat die Teken in met Apple-nutsding vir magtiging gebruik het. Ter herinnering, Teken in met Apple is 'n privaatheidsbehoudstawingmeganisme wat jou toelaat om by derdeparty-toepassings en -dienste aan te meld sonder om jou e-posadres te openbaar.
Die Meld aan met Apple-verifikasieproses genereer 'n JSON-webtoken wat sensitiewe inligting bevat wat 'n derdeparty-toepassing gebruik om die identiteit van die aangemelde gebruiker te verifieer. Die uitbuiting van die genoemde kwesbaarheid het 'n aanvaller toegelaat om 'n JWT-token te vervals wat met die identifiseerder van enige gebruiker geassosieer word. As gevolg hiervan, kan 'n aanvaller in staat wees om aan te meld deur die "Teken in met Apple"-funksie namens die slagoffer in derdeparty-dienste en toepassings wat hierdie hulpmiddel ondersteun.
Die navorser het verlede maand die kwesbaarheid aan Apple gerapporteer en is sedertdien reggemaak. Boonop het Apple-kundiges 'n ondersoek gedoen waartydens geen saak gevind is wanneer hierdie kwesbaarheid in die praktyk deur aanvallers gebruik is nie.
Bron: 3dnews.ru