Penyelidik India Bhavuk Jain, yang bekerja dalam bidang keselamatan maklumat, menerima ganjaran sebanyak $100 kerana menemui kelemahan berbahaya dalam fungsi "Log masuk dengan Apple" Fungsi ini digunakan oleh pemilik peranti Apple untuk kebenaran selamat di pihak ketiga aplikasi dan perkhidmatan menggunakan ID peribadi.
Kami bercakap tentang kelemahan, penggunaan yang boleh membenarkan penyerang mengawal akaun mangsa dalam aplikasi dan perkhidmatan yang digunakan oleh alat Log masuk dengan Apple untuk kebenaran. Sebagai peringatan, Log masuk dengan Apple ialah mekanisme pengesahan yang memelihara privasi yang membolehkan anda mendaftar untuk apl dan perkhidmatan pihak ketiga tanpa mendedahkan alamat e-mel anda.
Proses pengesahan Log masuk dengan Apple menjana Token Web JSON, yang mengandungi maklumat sensitif yang boleh digunakan oleh aplikasi pihak ketiga untuk mengesahkan identiti pengguna yang dilog masuk. Eksploitasi kelemahan yang disebutkan membenarkan penyerang memalsukan token JWT yang dikaitkan dengan mana-mana ID pengguna. Akibatnya, penyerang boleh log masuk melalui fungsi Log masuk dengan Apple bagi pihak mangsa dalam perkhidmatan dan aplikasi pihak ketiga yang menyokong alat ini.
Penyelidik melaporkan kelemahan kepada Apple bulan lepas dan ia kini telah diperbaiki. Di samping itu, pakar Apple menjalankan penyiasatan, di mana mereka tidak menemui satu pun kes di mana kelemahan ini digunakan oleh penyerang dalam amalan.
Sumber: 3dnews.ru