Peneliti India Bhavuk Jain, yang bekerja di bidang keamanan informasi, menerima hadiah sebesar $100 karena menemukan kerentanan berbahaya dalam fungsi “Masuk dengan Apple”. Fungsi ini digunakan oleh pemilik perangkat Apple untuk otorisasi aman di pihak ketiga. aplikasi dan layanan menggunakan ID pribadi.
Kita berbicara tentang kerentanan, yang penggunaannya memungkinkan penyerang mengambil alih akun korban dalam aplikasi dan layanan yang menggunakan alat Masuk dengan Apple untuk otorisasi. Sebagai pengingat, Masuk dengan Apple adalah mekanisme autentikasi yang menjaga privasi yang memungkinkan Anda mendaftar ke aplikasi dan layanan pihak ketiga tanpa mengungkapkan alamat email Anda.
Proses autentikasi Masuk dengan Apple menghasilkan Token Web JSON, yang berisi informasi sensitif yang dapat digunakan aplikasi pihak ketiga untuk memverifikasi identitas pengguna yang masuk. Eksploitasi kerentanan yang disebutkan memungkinkan penyerang memalsukan token JWT yang terkait dengan ID pengguna mana pun. Akibatnya, penyerang dapat masuk melalui fungsi Masuk dengan Apple atas nama korban di layanan dan aplikasi pihak ketiga yang mendukung alat ini.
Peneliti melaporkan kerentanan tersebut ke Apple bulan lalu dan kini telah diperbaiki. Selain itu, spesialis Apple melakukan penyelidikan, di mana mereka tidak menemukan satu kasus pun di mana kerentanan ini digunakan oleh penyerang dalam praktiknya.
Sumber: 3dnews.ru