Studiuesi indian Bhavuk Jain, i cili punon në fushën e sigurisë së informacionit, mori një shpërblim prej 100 dollarësh për zbulimin e një dobësie të rrezikshme në funksionin "Identifikohu me Apple". Ky funksion përdoret nga pronarët e pajisjeve Apple për autorizim të sigurt në palë të treta aplikacionet dhe shërbimet duke përdorur një ID personale.
Po flasim për një dobësi, përdorimi i të cilit mund t'i lejojë sulmuesit të marrin kontrollin e llogarive të viktimave në aplikacionet dhe shërbimet për të cilat është përdorur mjeti "Identifikohu me Apple" për autorizim. Si kujtesë, "Identifikohu me Apple" është një mekanizëm vërtetimi që ruan privatësinë që ju lejon të regjistroheni për aplikacione dhe shërbime të palëve të treta pa zbuluar adresën tuaj të emailit.
Procesi i vërtetimit të Identifikimit me Apple gjeneron një Token Ueb JSON, i cili përmban informacione të ndjeshme që një aplikacion i palës së tretë mund të përdorë për të verifikuar identitetin e përdoruesit të identifikuar. Shfrytëzimi i dobësisë së përmendur i lejoi një sulmuesi të falsifikonte një token JWT të lidhur me çdo ID të përdoruesit. Si rezultat, sulmuesi mund të jetë në gjendje të identifikohet përmes funksionit Sign in with Apple në emër të viktimës në shërbimet dhe aplikacionet e palëve të treta që mbështesin këtë mjet.
Studiuesi raportoi dobësinë tek Apple muajin e kaluar dhe tani ajo është rregulluar. Për më tepër, specialistët e Apple kryen një hetim, gjatë të cilit ata nuk gjetën një rast të vetëm në të cilin kjo dobësi të ishte përdorur nga sulmuesit në praktikë.
Burimi: 3dnews.ru