ಮಾಹಿತಿ ಭದ್ರತೆಯ ಕ್ಷೇತ್ರದಲ್ಲಿ ಕೆಲಸ ಮಾಡುವ ಭಾರತೀಯ ಸಂಶೋಧಕ ಭಾವುಕ್ ಜೈನ್ ಅವರು "ಆಪಲ್ ಜೊತೆ ಸೈನ್ ಇನ್" ಕಾರ್ಯದಲ್ಲಿ ಅಪಾಯಕಾರಿ ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದಕ್ಕಾಗಿ $100 ಬಹುಮಾನವನ್ನು ಪಡೆದರು ವೈಯಕ್ತಿಕ ID ಬಳಸಿಕೊಂಡು ಅಪ್ಲಿಕೇಶನ್ಗಳು ಮತ್ತು ಸೇವೆಗಳು.
ನಾವು ದುರ್ಬಲತೆಯ ಕುರಿತು ಮಾತನಾಡುತ್ತಿದ್ದೇವೆ, ಇದರ ಬಳಕೆಯು ದೃಢೀಕರಣಕ್ಕಾಗಿ Apple ಟೂಲ್ನೊಂದಿಗೆ ಸೈನ್ ಇನ್ ಅನ್ನು ಬಳಸಿದ ಅಪ್ಲಿಕೇಶನ್ಗಳು ಮತ್ತು ಸೇವೆಗಳಲ್ಲಿ ಬಲಿಪಶುಗಳ ಖಾತೆಗಳ ನಿಯಂತ್ರಣವನ್ನು ಆಕ್ರಮಣಕಾರರಿಗೆ ಅನುಮತಿಸಬಹುದು. ಜ್ಞಾಪನೆಯಂತೆ, Apple ನೊಂದಿಗೆ ಸೈನ್ ಇನ್ ಮಾಡುವುದು ಗೌಪ್ಯತೆ-ಸಂರಕ್ಷಿಸುವ ದೃಢೀಕರಣ ಕಾರ್ಯವಿಧಾನವಾಗಿದ್ದು ಅದು ನಿಮ್ಮ ಇಮೇಲ್ ವಿಳಾಸವನ್ನು ಬಹಿರಂಗಪಡಿಸದೆಯೇ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಅಪ್ಲಿಕೇಶನ್ಗಳು ಮತ್ತು ಸೇವೆಗಳಿಗೆ ಸೈನ್ ಅಪ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ.
Apple ದೃಢೀಕರಣ ಪ್ರಕ್ರಿಯೆಯೊಂದಿಗೆ ಸೈನ್ ಇನ್ ಮಾಡುವುದು JSON ವೆಬ್ ಟೋಕನ್ ಅನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ, ಇದು ಸೈನ್ ಇನ್ ಮಾಡಿದ ಬಳಕೆದಾರರ ಗುರುತನ್ನು ಪರಿಶೀಲಿಸಲು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಅಪ್ಲಿಕೇಶನ್ ಬಳಸಬಹುದಾದ ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. ಉಲ್ಲೇಖಿಸಲಾದ ದುರ್ಬಲತೆಯ ದುರ್ಬಳಕೆಯು ಆಕ್ರಮಣಕಾರರಿಗೆ ಯಾವುದೇ ಬಳಕೆದಾರ ID ಯೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ JWT ಟೋಕನ್ ಅನ್ನು ನಕಲಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು. ಪರಿಣಾಮವಾಗಿ, ದಾಳಿಕೋರರು ಈ ಪರಿಕರವನ್ನು ಬೆಂಬಲಿಸುವ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸೇವೆಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಬಲಿಪಶುವಿನ ಪರವಾಗಿ Apple ಕಾರ್ಯದೊಂದಿಗೆ ಸೈನ್ ಇನ್ ಮಾಡುವ ಮೂಲಕ ಲಾಗ್ ಇನ್ ಮಾಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.
ಸಂಶೋಧಕರು ಕಳೆದ ತಿಂಗಳು ಆಪಲ್ಗೆ ದುರ್ಬಲತೆಯನ್ನು ವರದಿ ಮಾಡಿದ್ದಾರೆ ಮತ್ತು ಅದನ್ನು ಈಗ ಸರಿಪಡಿಸಲಾಗಿದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಆಪಲ್ ತಜ್ಞರು ತನಿಖೆಯನ್ನು ನಡೆಸಿದರು, ಈ ಸಮಯದಲ್ಲಿ ಅವರು ಈ ದುರ್ಬಲತೆಯನ್ನು ಪ್ರಾಯೋಗಿಕವಾಗಿ ಆಕ್ರಮಣಕಾರರು ಬಳಸಿದ ಒಂದೇ ಒಂದು ಪ್ರಕರಣವನ್ನು ಕಂಡುಹಿಡಿಯಲಿಲ್ಲ.
ಮೂಲ: 3dnews.ru