Маалыматтык коопсуздук тармагында иштеген индиялык изилдөөчү Бхавук Джейн “Apple менен кирүү” функциясында коркунучтуу кемчиликти тапканы үчүн 100 миң доллар сыйлык алды жеке ID аркылуу тиркемелер жана кызматтар.
Кеп алсыздык жөнүндө болуп жатат, аны колдонуу чабуулчуларга авторизациялоо үчүн Apple менен кирүү куралы колдонулган тиркемелердеги жана кызматтардагы жабырлануучулардын аккаунттарын көзөмөлдөөгө мүмкүндүк берет. Эске сала кетсек, Apple менен кирүү – бул купуялыкты сактаган аутентификация механизми, ал сизге электрондук почта дарегиңизди көрсөтпөстөн үчүнчү тараптын колдонмолоруна жана кызматтарына катталууга мүмкүндүк берет.
Apple менен кирүү аныктыгын текшерүү процесси үчүнчү тараптын колдонмосу кирген колдонуучунун аныктыгын текшерүү үчүн колдоно ала турган купуя маалыматты камтыган JSON Веб Токенин түзөт. Белгиленген алсыздыкты пайдалануу чабуулчуга каалаган колдонуучунун идентификатору менен байланышкан JWT энбелгисин жасоого мүмкүндүк берди. Натыйжада, чабуулчу бул куралды колдогон үчүнчү тараптын кызматтарында жана тиркемелеринде жабырлануучунун атынан Apple менен кирүү функциясы аркылуу кире алат.
Изилдөөчү өткөн айда Apple компаниясынын алсыздыгы тууралуу билдирген жана ал азыр оңдолду. Мындан тышкары, Apple адистери иликтөө жүргүзүп, анын жүрүшүндө бул алсыздыкты чабуулчулар иш жүзүндө колдонгон бир да учурду тапкан жок.
Source: 3dnews.ru