Индискиот истражувач Бавук Џаин, кој работи во областа на безбедноста на информациите, доби награда од 100 долари за откривање опасна ранливост во функцијата „Најави се со Apple“ Оваа функција ја користат сопствениците на уредите на Apple за безбедно овластување кај трети лица апликации и услуги кои користат лична лична карта.
Зборуваме за ранливост, чија употреба може да им овозможи на напаѓачите да ја преземат контролата врз сметките на жртвите во апликациите и услугите за кои се користеше алатката „Најави се со Apple“ за авторизација. За потсетување, Пријавете се со Apple е механизам за автентикација за зачувување на приватноста кој ви овозможува да се регистрирате за апликации и услуги од трети страни без да ја откриете вашата адреса на е-пошта.
Процесот на автентикација „Најави се со Apple“ генерира JSON Web Token, кој содржи чувствителни информации што апликацијата од трета страна може да ги користи за да го потврди идентитетот на најавениот корисник. Искористувањето на споменатата ранливост му овозможи на напаѓачот да фалсификува JWT токен поврзан со кој било кориснички ID. Како резултат на тоа, напаѓачот би можел да се најави преку функцијата „Најави се со Apple“ во име на жртвата во услуги и апликации од трети лица што ја поддржуваат оваа алатка.
Истражувачот ја пријави ранливоста на Apple минатиот месец и сега е поправена. Покрај тоа, специјалистите на Apple спроведоа истрага, при што не пронајдоа ниту еден случај во кој оваа ранливост била користена од напаѓачите во пракса.
Извор: 3dnews.ru