Wani dan kasar Indiya mai bincike Bhavuk Jain, wanda ke aiki a fannin tsaro na bayanai, ya samu tukuicin $100 saboda gano wata matsala mai hatsarin gaske a cikin aikin “Sign in with Apple.” Wannan aikin masu na’urorin Apple ne ke amfani da shi don samun amintaccen izini a wani bangare na uku. aikace-aikace da ayyuka ta amfani da ID na sirri.
Muna magana ne game da wani rauni, wanda amfani da shi zai iya ba da damar maharan su mallaki asusun waɗanda abin ya shafa a aikace-aikace da sabis waɗanda aka yi amfani da Shiga tare da kayan aikin Apple don izini. A matsayin tunatarwa, Shiga tare da Apple wata hanyar tabbatar da keɓantawa ce wacce ke ba ku damar yin rajista don aikace-aikace da ayyuka na ɓangare na uku ba tare da bayyana adireshin imel ɗin ku ba.
Shiga tare da tsarin tantancewar Apple yana haifar da alamar Yanar Gizo ta JSON, wanda ya ƙunshi mahimman bayanai waɗanda aikace-aikacen ɓangare na uku za su iya amfani da su don tabbatar da sa hannun mai amfani. Yin amfani da raunin da aka ambata ya ba maharin damar ƙirƙira alamar JWT mai alaƙa da kowane ID na mai amfani. Sakamakon haka, maharin zai iya shiga ta hanyar Shiga tare da aikin Apple a madadin wanda aka azabtar a cikin sabis na ɓangare na uku da aikace-aikacen da ke goyan bayan wannan kayan aiki.
Mai binciken ya ba da rahoton raunin ga Apple a watan da ya gabata kuma yanzu an gyara shi. Bugu da kari, kwararrun kamfanin Apple sun gudanar da bincike, inda ba su sami ko guda daya da maharan suka yi amfani da wannan rauni a aikace ba.
source: 3dnews.ru