Indijski istraživač kibernetičke sigurnosti Bhavuk Jain dobio je nagradu od 100 dolara za otkrivanje opasne ranjivosti u identifikatoru Sign in with Apple.
Govorimo o ranjivosti koja bi mogla omogućiti napadačima da preuzmu kontrolu nad računima žrtava u aplikacijama i servisima koji su koristili Sign in with Apple alat za autorizaciju. Podsjećamo, Sign In with Apple je mehanizam za provjeru autentičnosti koji čuva privatnost i koji vam omogućava da se prijavite na aplikacije i usluge trećih strana bez otkrivanja vaše adrese e-pošte.
Proces provjere autentičnosti Prijava s Apple-om generira JSON Web Token koji sadrži osjetljive informacije koje aplikacija treće strane koristi za provjeru identiteta prijavljenog korisnika. Iskorištavanje spomenute ranjivosti omogućilo je napadaču da krivotvori JWT token povezan s identifikatorom bilo kojeg korisnika. Kao rezultat toga, napadač bi se mogao prijaviti putem funkcije „Prijava putem Applea“ u ime žrtve u usluge i aplikacije trećih strana koje podržavaju ovaj alat.
Istraživač je prijavio ranjivost Appleu prošlog mjeseca i od tada je zakrpljen. Osim toga, stručnjaci kompanije Apple sproveli su istragu tokom koje nije pronađen nijedan slučaj kada su ovu ranjivost koristili napadači u praksi.
izvor: 3dnews.ru