Den indesche Fuerscher Bhavuk Jain, deen am Beräich vun der Informatiounssécherheet schafft, krut eng Belounung vun 100 Dollar fir eng geféierlech Schwachstelle an der "Sign in with Apple" Funktioun ze entdecken Uwendungen a Servicer mat enger perséinlecher ID.
Mir schwätzen iwwer eng Schwachstelle, d'Benotzung vun där Ugräifer et erlaabt d'Kontroll vun den Affer an Applikatiounen a Servicer ze iwwerhuelen, fir déi d'Umeldung mat Apple-Tool fir d'Autorisatioun benotzt gouf. Als Erënnerung, Umellen mat Apple ass e Privatsphär-behalend Authentifikatiounsmechanismus, deen Iech erlaabt Iech fir Drëtt Partei Apps a Servicer z'ënnerschreiwen ouni Är E-Mailadress opzeweisen.
De Sign-in with Apple Authentifikatiounsprozess generéiert e JSON Web Token, deen sensibel Informatioun enthält, déi eng Drëtt-Partei-Applikatioun benotze kann fir d'Identitéit vum ugemellte Benotzer z'iwwerpréiwen. D'Ausbeutung vun der ernimmter Schwachstelle huet en Ugräifer erlaabt e JWT Token mat all Benotzer ID ze verschmëlzen. Als Resultat kann den Ugräifer fäeg sinn duerch d'Umeldung mat Apple Funktioun am Numm vum Affer an Drëtt Partei Servicer an Uwendungen aloggen, déi dëst Tool ënnerstëtzen.
De Fuerscher huet d'Schwachheet op Apple de leschte Mount gemellt an et ass elo fixéiert. Zousätzlech hunn Apple Spezialisten eng Enquête gemaach, während där se keen eenzege Fall fonnt hunn, an deem dës Schwachstelle vun Ugräifer an der Praxis benotzt gouf.
Source: 3dnews.ru