Ir-riċerkatur Indjan tas-sigurtà tal-informazzjoni Bhavuk Jain irċieva premju ta’ $100 talli skopra vulnerabbiltà perikoluża fil-karatteristika Sign in with Apple.Din il-karatteristika tintuża mis-sidien tal-apparat Apple biex jidħlu b’mod sigur f’applikazzjonijiet u servizzi ta’ partijiet terzi bl-użu ta’ ID personali.
Qed nitkellmu dwar vulnerabbiltà, li l-użu tagħha jista’ jippermetti lill-attakkanti jieħdu l-kontroll tal-kontijiet tal-vittmi f’applikazzjonijiet u servizzi li għalihom intużat l-għodda Sign in with Apple għall-awtorizzazzjoni. Bħala tfakkira, Sign in with Apple huwa mekkaniżmu ta’ awtentikazzjoni li jippreserva l-privatezza li jippermettilek tirreġistra għal apps u servizzi ta’ partijiet terzi mingħajr ma tiżvela l-indirizz elettroniku tiegħek.
Il-proċess ta' awtentikazzjoni Sign in with Apple jiġġenera JSON Web Token, li fih informazzjoni sensittiva li applikazzjoni ta' parti terza tista' tuża biex tivverifika l-identità tal-utent li jkun iffirma. L-isfruttament tal-vulnerabbiltà msemmija ppermetta li attakkant jifforma token JWT assoċjat ma' kwalunkwe ID tal-utent. Bħala riżultat, l-attakkant jista 'jkun kapaċi jidħol permezz tal-funzjoni Sign in with Apple f'isem il-vittma f'servizzi ta' partijiet terzi u applikazzjonijiet li jappoġġjaw din l-għodda.
Ir-riċerkatur irrapporta l-vulnerabbiltà lil Apple ix-xahar li għadda u issa ġie ffissat. Barra minn hekk, speċjalisti Apple wettqu investigazzjoni, li matulha ma sabu l-ebda każ wieħed li fih din il-vulnerabbiltà kienet użata mill-attakkanti fil-prattika.
Sors: 3dnews.ru