Indický výzkumník v oblasti kybernetické bezpečnosti Bhavuk Jain obdržel odměnu 100 000 dolarů za objevení nebezpečné zranitelnosti ve funkci Přihlášení pomocí Apple.
Hovoříme o zranitelnosti, která by mohla útočníkům umožnit převzít kontrolu nad účty obětí v aplikacích a službách, které k autorizaci využívaly nástroj Přihlásit se pomocí Apple. Připomínáme, že Sign In with Apple je ověřovací mechanismus chránící soukromí, který vám umožňuje přihlašovat se k aplikacím a službám třetích stran bez odhalení vaší e-mailové adresy.
Proces ověřování Přihlášení pomocí Apple vygeneruje webový token JSON, který obsahuje citlivé informace, které aplikace třetí strany používá k ověření identity přihlášeného uživatele. Využití zmíněné zranitelnosti umožnilo útočníkovi zfalšovat token JWT spojený s identifikátorem libovolného uživatele. V důsledku toho by se útočník mohl přihlásit prostřednictvím funkce „Přihlásit se pomocí Apple“ jménem oběti do služeb a aplikací třetích stran, které tento nástroj podporují.
Výzkumník oznámil zranitelnost společnosti Apple minulý měsíc a od té doby byla opravena. Experti Applu navíc provedli vyšetřování, během kterého nebyl nalezen žádný případ, kdy by tuto zranitelnost útočníci v praxi využívali.
Zdroj: 3dnews.ru