Yndiaanske cybersecurity-ûndersiker Bhavuk Jain krige in beleanning fan $ 100 foar it ûntdekken fan in gefaarlike kwetsberens yn 'e Sign-in with Apple-funksje.
Wy hawwe it oer in kwetsberens wêrmei oanfallers de kontrôle oernimme kinne fan 'e akkounts fan slachtoffers yn applikaasjes en tsjinsten dy't it Ynlogge mei Apple-ark brûkten foar autorisaasje. As herinnering, Ynlogge mei Apple is in privacy-behâldend autentikaasjemeganisme wêrmei jo kinne oanmelde by apps en tsjinsten fan tredden sûnder jo e-mailadres te iepenbierjen.
It oanmelden mei Apple-ferifikaasjeproses genereart in JSON Web Token dat gefoelige ynformaasje befettet dy't in applikaasje fan tredden brûkt om de identiteit fan 'e oanmelde brûker te ferifiearjen. De eksploitaasje fan 'e neamde kwetsberens koe in oanfaller in JWT-token smeden ferbûn mei de identifier fan elke brûker. As gefolch kin in oanfaller ynlogge fia de funksje "Oanmelde mei Apple" út namme fan it slachtoffer yn tsjinsten en applikaasjes fan tredden dy't dit ark stypje.
De ûndersiker rapporteare de kwetsberens foar Apple ferline moanne en is sûnt patched. Derneist hawwe Apple-saakkundigen in ûndersyk útfierd wêrby't gjin gefal waard fûn doe't dizze kwetsberens yn 'e praktyk brûkt waard troch oanfallers.
Boarne: 3dnews.ru