Intialainen tietoturvatutkija Bhavuk Jain sai 100 000 dollarin palkinnon, kun hän löysi vaarallisen haavoittuvuuden Kirjaudu sisään Applen kanssa -ominaisuudesta. Apple-laitteiden omistajat käyttävät tätä ominaisuutta kirjautuakseen turvallisesti kolmannen osapuolen sovelluksiin ja palveluihin henkilökohtaisella tunnuksella.
Puhumme haavoittuvuudesta, jonka avulla hyökkääjät voivat ottaa haltuunsa uhrien tilit sovelluksissa ja palveluissa, joiden valtuutukseen käytettiin Kirjaudu sisään Applen avulla -työkalua. Muista, että Kirjaudu sisään Applella on yksityisyyttä suojeleva todennusmekanismi, jonka avulla voit rekisteröityä kolmannen osapuolen sovelluksiin ja palveluihin paljastamatta sähköpostiosoitettasi.
Kirjaudu sisään Applen avulla -todennusprosessi luo JSON-verkkotunnuksen, joka sisältää arkaluontoisia tietoja, joita kolmannen osapuolen sovellus voi käyttää kirjautuneen käyttäjän henkilöllisyyden vahvistamiseen. Mainitun haavoittuvuuden hyödyntäminen antoi hyökkääjälle mahdollisuuden väärentää mihin tahansa käyttäjätunnukseen liittyvän JWT-tunnuksen. Tämän seurauksena hyökkääjä voi pystyä kirjautumaan sisään Kirjaudu Apple -toiminnolla -toiminnon kautta uhrin puolesta kolmannen osapuolen palveluihin ja sovelluksiin, jotka tukevat tätä työkalua.
Tutkija ilmoitti haavoittuvuudesta Applelle viime kuussa, ja se on nyt korjattu. Lisäksi Applen asiantuntijat suorittivat tutkimuksen, jonka aikana he eivät löytäneet yhtään tapausta, jossa hyökkääjät olisivat käyttäneet tätä haavoittuvuutta käytännössä.
Lähde: 3dnews.ru