Cercetatorul indian de securitate cibernetică Bhavuk Jain a primit o recompensă de 100 USD pentru descoperirea unei vulnerabilități periculoase în identificatorul caracteristicii Conectați-vă cu Apple.
Vorbim despre o vulnerabilitate care ar putea permite atacatorilor să preia controlul asupra conturilor victimelor în aplicațiile și serviciile care au folosit instrumentul Sign in with Apple pentru autorizare. Pentru a vă reaminti, Conectați-vă cu Apple este un mecanism de autentificare care păstrează confidențialitatea, care vă permite să vă conectați la aplicații și servicii terță parte fără a vă dezvălui adresa de e-mail.
Procesul de autentificare Conectare cu Apple generează un token web JSON care conține informații sensibile pe care o aplicație terță parte le utilizează pentru a verifica identitatea utilizatorului conectat. Exploatarea vulnerabilității menționate a permis unui atacator să falsifice un token JWT asociat cu identificatorul oricărui utilizator. Drept urmare, un atacator s-ar putea conecta prin intermediul funcției „Conectați-vă cu Apple” în numele victimei în servicii și aplicații terță parte care acceptă acest instrument.
Cercetătorul a raportat vulnerabilitatea la Apple luna trecută și de atunci a fost corectat. În plus, experții Apple au efectuat o investigație în cadrul căreia nu a fost găsit niciun caz când această vulnerabilitate a fost folosită de atacatori în practică.
Sursa: 3dnews.ru