Derbyniodd yr ymchwilydd seiberddiogelwch Indiaidd Bhavuk Jain wobr o $100 am ddarganfod bregusrwydd peryglus yn y dynodwr nodwedd Sign in with Apple.
Rydym yn sΓ΄n am fregusrwydd a allai ganiatΓ‘u i ymosodwyr gymryd rheolaeth o gyfrifon dioddefwyr mewn cymwysiadau a gwasanaethau a ddefnyddiodd yr offeryn Mewngofnodi gydag Apple i'w awdurdodi. I'ch atgoffa, mae Sign In with Apple yn fecanwaith dilysu sy'n cadw preifatrwydd sy'n eich galluogi i fewngofnodi i apiau a gwasanaethau trydydd parti heb ddatgelu eich cyfeiriad e-bost.
Mae'r broses ddilysu Mewngofnodi gydag Apple yn cynhyrchu Tocyn Gwe JSON sy'n cynnwys gwybodaeth sensitif y mae rhaglen trydydd parti yn ei defnyddio i wirio hunaniaeth y defnyddiwr sydd wedi mewngofnodi. Roedd ecsbloetio'r bregusrwydd a grybwyllwyd yn caniatΓ‘u i ymosodwr ffugio tocyn JWT yn gysylltiedig Γ’ dynodwr unrhyw ddefnyddiwr. O ganlyniad, gallai ymosodwr allu mewngofnodi trwy'r swyddogaeth βSign in with Appleβ ar ran y dioddefwr mewn gwasanaethau trydydd parti a chymwysiadau sy'n cefnogi'r offeryn hwn.
Adroddodd yr ymchwilydd y bregusrwydd i Apple y mis diwethaf ac ers hynny mae wedi'i glytio. Yn ogystal, cynhaliodd arbenigwyr Apple ymchwiliad lle ni chanfuwyd unrhyw achos pan ddefnyddiwyd y bregusrwydd hwn yn ymarferol gan ymosodwyr.
Ffynhonnell: 3dnewyddion.ru