هندستاني محقق ڀووڪ جين، جيڪو معلومات جي حفاظت جي شعبي ۾ ڪم ڪري ٿو، "سائن ان سان ايپل" فنڪشن ۾ هڪ خطرناڪ خطري کي دريافت ڪرڻ تي $ 100 جو انعام حاصل ڪيو. هي فنڪشن ايپل ڊوائيسز جي مالڪن پاران ٽئين پارٽي ۾ محفوظ اختيار لاء استعمال ڪيو ويندو آهي. ذاتي ID استعمال ڪندي ايپليڪيشنون ۽ خدمتون.
اسان هڪ خطري جي باري ۾ ڳالهائي رهيا آهيون، جنهن جو استعمال حملي آورن کي اجازت ڏئي سگهي ٿو ته هو متاثرين جي اڪائونٽن تي ڪنٽرول ڪن ايپليڪيشنن ۽ خدمتن ۾ جنهن لاءِ سائن ان سان ايپل ٽول اختيار ڪرڻ لاءِ استعمال ڪيو ويو. هڪ ياد ڏياريندڙ جي طور تي، ايپل سان سائن ان هڪ رازداري جي حفاظت جي تصديق واري ميڪانيزم آهي جيڪا توهان کي توهان جي اي ميل پتي کي ظاهر ڪرڻ کان سواء ٽئين پارٽي ايپس ۽ خدمتن لاء سائن اپ ڪرڻ جي اجازت ڏئي ٿي.
ايپل جي تصديق جي عمل سان سائن ان ڪري ٿو JSON ويب ٽوڪن، جنهن ۾ حساس معلومات شامل آهي جيڪا ٽئين پارٽي جي ايپليڪيشن سائن ان ٿيل صارف جي سڃاڻپ جي تصديق ڪرڻ لاءِ استعمال ڪري سگهي ٿي. ذڪر ڪيل خطري جي استحصال هڪ حملي ڪندڙ کي اجازت ڏني ته ڪنهن به يوزر آئي ڊي سان لاڳاپيل JWT ٽوڪن ٺاهي. نتيجي طور، حملو ڪندڙ ٽئين پارٽي جي خدمتن ۽ ايپليڪيشنن ۾ قرباني جي طرفان ايپل فنڪشن سان سائن ان ذريعي لاگ ان ٿيڻ جي قابل ٿي سگھي ٿو جيڪي هن اوزار کي سپورٽ ڪن ٿيون.
محقق ٻڌايو ته گذريل مهيني ايپل کي نقصان پهچايو ويو آهي ۽ اهو هاڻي مقرر ڪيو ويو آهي. ان کان علاوه، ايپل جي ماهرن هڪ تحقيق ڪئي، جنهن دوران انهن کي هڪ به ڪيس نه مليو جنهن ۾ هن خطري کي عملي طور تي حملي ڪندڙن طرفان استعمال ڪيو ويو.
جو ذريعو: 3dnews.ru