Ilay mpikaroka Indiana Bhavuk Jain, izay miasa eo amin'ny sehatry ny fiarovana ny fampahalalam-baovao, dia nahazo valisoa $100 noho ny fahitana vulnerable mampidi-doza ao amin'ny fiasa "Miditra amin'ny Apple". fampiharana sy serivisy mampiasa ID manokana.
Miresaka momba ny fahalemena isika, ny fampiasana izany dia ahafahan'ny mpanafika hifehy ny kaontin'ireo niharam-boina amin'ny rindranasa sy serivisy izay nampiasana ny fitaovana Midira miaraka amin'ny Apple ho fanomezan-dΓ lana. Ho fampahatsiahivana, Misoratra anarana miaraka amin'i Apple dia rafitra fanamarinana fiarovana ny fiainana manokana izay ahafahanao misoratra anarana amin'ny fampiharana sy serivisy an'ny antoko fahatelo nefa tsy manambara ny adiresy mailakao.
Ny dingana fidirana amin'ny Apple authentication dia miteraka JSON Web Token, izay misy fampahalalana saro-pady azon'ny rindranasa an'ny antoko fahatelo ampiasaina hanamarinana ny mombamomba ny mpampiasa nosoniavina. Ny fanararaotana ilay vulnerability voalaza dia nahafahan'ny mpanafika iray nanamboatra marika JWT mifandray amin'ny ID mpampiasa. Vokatr'izany, ny mpanafika dia afaka miditra amin'ny alΓ lan'ny fiasan'ny Sign in with Apple amin'ny anaran'ilay niharam-boina amin'ny serivisy sy fampiharana hafa manohana ity fitaovana ity.
Ny mpikaroka dia nitatitra ny vulnerability an'i Apple tamin'ny volana lasa ary efa raikitra izao. Fanampin'izany, nanao fanadihadiana ireo manam-pahaizana manokana momba ny Apple, izay tsy nahitan'izy ireo tranga iray izay nampiasan'ireo mpanafika tamin'ny fampiharana io vulnerable io.
Source: 3dnews.ru