Indyjski badacz Bhavuk Jain, zajmujący się bezpieczeństwem informacji, otrzymał nagrodę w wysokości 100 000 dolarów za odkrycie niebezpiecznej luki w funkcji „Zaloguj się przez Apple”. Funkcja ta wykorzystywana jest przez właścicieli urządzeń Apple do bezpiecznej autoryzacji w aplikacjach zewnętrznych aplikacji i usług przy użyciu osobistego identyfikatora.
Mowa o luce, której wykorzystanie mogłoby pozwolić atakującym na przejęcie kontroli nad kontami ofiar w aplikacjach i usługach, do których autoryzacji służyło narzędzie Zaloguj się za pomocą Apple. Przypominamy, że Zaloguj się przez Apple to mechanizm uwierzytelniania chroniący prywatność, który umożliwia rejestrowanie się w aplikacjach i usługach innych firm bez ujawniania adresu e-mail.
Proces uwierzytelniania Zaloguj się przy użyciu konta Apple generuje token sieciowy JSON zawierający poufne informacje, których aplikacja innej firmy może użyć do zweryfikowania tożsamości zalogowanego użytkownika. Wykorzystanie wspomnianej luki umożliwiło osobie atakującej sfałszowanie tokena JWT powiązanego z dowolnym identyfikatorem użytkownika. W rezultacie osoba atakująca może być w stanie zalogować się za pomocą funkcji Zaloguj się za pomocą Apple w imieniu ofiary w usługach i aplikacjach innych firm obsługujących to narzędzie.
Badacz zgłosił tę lukę firmie Apple w zeszłym miesiącu i została już naprawiona. Ponadto specjaliści Apple przeprowadzili dochodzenie, podczas którego nie znaleźli ani jednego przypadku wykorzystania tej luki przez atakujących w praktyce.
Źródło: 3dnews.ru