Ang tigdukiduki sa cybersecurity sa India nga si Bhavuk Jain nakadawat ug $100 nga ganti tungod sa pagdiskubre sa usa ka makuyaw nga kahuyangan sa Sign in with Apple feature. identifier.
Naghisgot kami bahin sa usa ka kahuyang nga mahimong magtugot sa mga tig-atake nga makontrol ang mga account sa mga biktima sa mga aplikasyon ug serbisyo nga gigamit ang tool sa Pag-sign in gamit ang Apple alang sa pagtugot. Isip usa ka pahinumdom, ang Sign In with Apple usa ka mekanismo sa pagpreserbar sa privacy nga nagtugot kanimo sa pag-sign in sa mga third-party nga apps ug mga serbisyo nga dili ibutyag ang imong email address.
Ang Sign in with Apple authentication process nagmugna ug JSON Web Token nga adunay sensitibong impormasyon nga gigamit sa third-party nga aplikasyon aron mapamatud-an ang pagkatawo sa naka-sign-in nga user. Ang pagpahimulos sa gihisgutan nga kahuyangan nagtugot sa usa ka tig-atake sa paghimo og usa ka JWT nga token nga may kalabutan sa identifier sa bisan kinsa nga tiggamit. Ingon usa ka sangputanan, ang usa ka tig-atake mahimong maka-log in pinaagi sa function nga "Pag-sign in gamit ang Apple" alang sa biktima sa mga serbisyo ug aplikasyon sa ikatulo nga partido nga nagsuporta sa kini nga himan.
Gi-report sa tigdukiduki ang pagkahuyang sa Apple kaniadtong miaging bulan ug sukad kini na-patch. Dugang pa, ang mga eksperto sa Apple nagpahigayon usa ka imbestigasyon kung diin walaβy nakit-an nga kaso kung kini nga pagkahuyang gigamit sa mga tig-atake sa praktis.
Source: 3dnews.ru