የህንድ የሳይበር ደህንነት ተመራማሪው ብሃቩክ ጄን በአፕል መለያ መግቢያ ላይ አደገኛ ተጋላጭነትን በማግኘታቸው የ100 ዶላር ሽልማት አግኝተዋል።
እየተነጋገርን ያለነው አጥቂዎች የተጎጂዎችን መለያዎች ለመቆጣጠር በአፕል መሣሪያ ለፈቃድ በተጠቀሙ መተግበሪያዎች እና አገልግሎቶች ላይ እንዲቆጣጠሩ ስለሚያስችለው ተጋላጭነት ነው። ለማስታወስ ያህል፣ በአፕል ይግቡ የኢሜል አድራሻዎን ሳይገልጹ ወደ የሶስተኛ ወገን መተግበሪያዎች እና አገልግሎቶች ለመግባት የሚያስችል ግላዊነትን የሚጠብቅ የማረጋገጫ ዘዴ ነው።
በ Apple የማረጋገጫ ሂደት የሶስተኛ ወገን መተግበሪያ በመለያ የገባውን ተጠቃሚ ማንነት ለማረጋገጥ የሚጠቀምበትን ሚስጥራዊነት ያለው መረጃ የያዘ JSON Web Token ያመነጫል። የተጠቀሰው የተጋላጭነት ብዝበዛ አጥቂ ከማንኛውም ተጠቃሚ መለያ ጋር የተያያዘ JWT ቶከን እንዲፈጥር አስችሎታል። በዚህ ምክንያት አንድ አጥቂ በሶስተኛ ወገን አገልግሎቶች እና ይህንን መሳሪያ በሚደግፉ አፕሊኬሽኖች ውስጥ ተጎጂውን ወክሎ በ "በ Apple ይግቡ" ተግባር ውስጥ መግባት ይችላል.
ተመራማሪው ባለፈው ወር ለአፕል ተጋላጭነቱን ዘግቧል እና ከዚያ በኋላ ተስተካክሏል ። በተጨማሪም የአፕል ባለሙያዎች ይህንን ተጋላጭነት በአጥቂዎች በተግባር ሲጠቀሙበት ምንም አይነት ጉዳይ ያልተገኘበት ምርመራ አካሂደዋል።
ምንጭ: 3dnews.ru