Hindistanlı kibertəhlükəsizlik tədqiqatçısı Bhavuk Jain Apple ilə daxil olun xüsusiyyətində təhlükəli zəifliyi aşkar etdiyinə görə 100 dollar mükafat aldı.
Söhbət hücumçulara avtorizasiya üçün Apple ilə daxil ol alətindən istifadə edən proqram və xidmətlərdə qurbanların hesablarına nəzarət etməyə imkan verə biləcək boşluqdan gedir. Xatırladaq ki, “Apple ilə daxil olun” məxfiliyi qoruyan autentifikasiya mexanizmidir və sizə e-poçt ünvanınızı açıqlamadan üçüncü tərəf proqram və xidmətlərinə daxil olmağa imkan verir.
Apple ilə giriş identifikasiyası prosesi üçüncü tərəf tətbiqinin daxil olmuş istifadəçinin kimliyini yoxlamaq üçün istifadə etdiyi həssas məlumatları ehtiva edən JSON Veb Tokeni yaradır. Sözügedən boşluqdan istifadə hücumçuya istənilən istifadəçinin identifikatoru ilə əlaqəli JWT tokenini saxtalaşdırmağa imkan verdi. Nəticədə, təcavüzkar üçüncü tərəf xidmətlərində və bu aləti dəstəkləyən proqramlarda qurbanın adından “Apple ilə daxil olun” funksiyası vasitəsilə daxil ola bilər.
Tədqiqatçı keçən ay Apple-a qarşı zəiflik barədə məlumat vermişdi və o vaxtdan bəri yamaqlar düzəldilmişdir. Bundan əlavə, Apple mütəxəssisləri araşdırma aparıblar və bu boşluqdan təcavüzkarlar tərəfindən praktikada istifadə edildiyi hal aşkar edilməyib.
Mənbə: 3dnews.ru