تلقى الباحث الهندي في مجال الأمن السيبراني بهافوك جاين مكافأة قدرها 100 دولار لاكتشافه ثغرة خطيرة في معرّف تسجيل الدخول باستخدام Apple.
نحن نتحدث عن ثغرة قد تسمح للمهاجمين بالتحكم في حسابات الضحايا في التطبيقات والخدمات التي تستخدم أداة تسجيل الدخول باستخدام Apple للحصول على إذن. كتذكير ، تعد Sign In with Apple آلية مصادقة تحافظ على الخصوصية وتسمح لك بتسجيل الدخول إلى تطبيقات وخدمات الجهات الخارجية دون الكشف عن عنوان بريدك الإلكتروني.
تنشئ عملية مصادقة تسجيل الدخول باستخدام Apple رمز ويب JSON يحتوي على معلومات حساسة يستخدمها تطبيق جهة خارجية للتحقق من هوية المستخدم الذي قام بتسجيل الدخول. سمح استغلال الثغرة الأمنية المذكورة للمهاجم بتزوير رمز JWT المرتبط بمعرّف أي مستخدم. نتيجةً لذلك ، قد يتمكن المهاجم من تسجيل الدخول من خلال وظيفة "تسجيل الدخول باستخدام Apple" نيابة عن الضحية في خدمات وتطبيقات الجهات الخارجية التي تدعم هذه الأداة.
أبلغ الباحث عن الثغرة الأمنية لشركة Apple الشهر الماضي وتم تصحيحها منذ ذلك الحين. بالإضافة إلى ذلك ، أجرى خبراء Apple تحقيقًا لم يتم خلاله العثور على حالة عندما استخدم المهاجمون هذه الثغرة الأمنية في الممارسة العملية.
المصدر: 3dnews.ru