Indijski raziskovalec Bhavuk Jain, ki dela na področju informacijske varnosti, je prejel nagrado v višini 100 dolarjev za odkritje nevarne ranljivosti v funkciji »Prijava z Apple«, ki jo uporabljajo lastniki naprav Apple za varno avtorizacijo v tretjih osebah. aplikacije in storitve z osebnim ID-jem.
Govorimo o ranljivosti, katere uporaba bi lahko napadalcem omogočila prevzem nadzora nad računi žrtev v aplikacijah in storitvah, za katere je bilo za avtorizacijo uporabljeno orodje Sign in with Apple. Naj vas spomnimo, Sign in with Apple je mehanizem za preverjanje pristnosti, ki ohranja zasebnost in vam omogoča, da se prijavite za aplikacije in storitve tretjih oseb, ne da bi razkrili svoj e-poštni naslov.
Postopek preverjanja pristnosti Vpis z Apple ustvari spletni žeton JSON, ki vsebuje občutljive informacije, ki jih lahko aplikacija tretje osebe uporabi za preverjanje identitete prijavljenega uporabnika. Izkoriščanje omenjene ranljivosti je napadalcu omogočilo ponarejanje žetona JWT, povezanega s katerim koli uporabniškim ID-jem. Posledično bi se napadalec lahko prijavil prek funkcije Sign in with Apple v imenu žrtve v storitve in aplikacije tretjih oseb, ki podpirajo to orodje.
Raziskovalec je Apple prejšnji mesec prijavil ranljivost in zdaj je bila odpravljena. Poleg tega so Applovi strokovnjaki izvedli preiskavo, med katero niso našli niti enega primera, v katerem bi to ranljivost napadalci uporabili v praksi.
Vir: 3dnews.ru