Peneliti keamanan informasi India Bhavuk Jain nampa ganjaran $100 amarga nemokake kerentanan mbebayani ing fitur Sign in with Apple Fitur iki digunakake dening pamilik piranti Apple kanggo mlebu kanthi aman menyang aplikasi lan layanan pihak katelu nggunakake ID pribadi.
Kita ngomong babagan kerentanan, panggunaan sing bisa ngidini panyerang ngontrol akun korban ing aplikasi lan layanan sing nggunakake alat Mlebu karo Apple kanggo menehi wewenang. Minangka pangeling, Mlebu karo Apple minangka mekanisme otentikasi sing njaga privasi sing ngidini sampeyan ndhaptar aplikasi lan layanan pihak katelu tanpa mbukak alamat email sampeyan.
Proses otentikasi Mlebu karo Apple ngasilake Token Web JSON, sing ngemot informasi sensitif sing bisa digunakake aplikasi pihak katelu kanggo verifikasi identitas pangguna sing mlebu. Eksploitasi kerentanan kasebut ngidini panyerang nggawe token JWT sing ana gandhengane karo ID pangguna. AkibatΓ©, panyerang bisa mlebu liwat fungsi Mlebu karo Apple atas jenenge korban ing layanan lan aplikasi pihak katelu sing ndhukung alat iki.
Peneliti nglaporake kerentanan menyang Apple wulan kepungkur lan saiki wis didandani. Kajaba iku, spesialis Apple nindakake investigasi, sajrone ora nemokake kasus sing kerentanan iki digunakake dening para penyerang ing praktik.
Source: 3dnews.ru