Den indiske cybersikkerhedsforsker Bhavuk Jain modtog en belønning på 100 USD for at opdage en farlig sårbarhed i funktionen Log ind med Apple.
Vi taler om en sårbarhed, der kan gøre det muligt for angribere at tage kontrol over ofres konti i applikationer og tjenester, der brugte Log ind med Apple-værktøjet til godkendelse. Som en påmindelse er Log ind med Apple en godkendelsesmekanisme, der beskytter privatlivets fred, og som giver dig mulighed for at logge ind på tredjepartsapps og -tjenester uden at afsløre din e-mailadresse.
Log på med Apple-godkendelsesprocessen genererer et JSON-webtoken, der indeholder følsomme oplysninger, som et tredjepartsprogram bruger til at bekræfte identiteten på den loggede bruger. Udnyttelsen af den nævnte sårbarhed gjorde det muligt for en angriber at forfalske et JWT-token forbundet med identifikatoren for enhver bruger. Som et resultat heraf kan en hacker være i stand til at logge på via funktionen "Log ind med Apple" på vegne af offeret i tredjepartstjenester og -applikationer, der understøtter dette værktøj.
Forskeren rapporterede sårbarheden til Apple i sidste måned og er siden blevet rettet. Derudover gennemførte Apple-eksperter en undersøgelse, hvor der ikke blev fundet nogen sag, hvor denne sårbarhed blev brugt af angribere i praksis.
Kilde: 3dnews.ru