Индијски истраживач Бхавук Јаин, који ради у области информационе безбедности, добио је награду од 100 долара за откривање опасне рањивости у функцији „Пријава путем Аппле-а“ Ову функцију користе власници Аппле уређаја за безбедну ауторизацију у трећем лицу апликације и услуге користећи лични ИД.
Реч је о рањивости, чија употреба би могла да омогући нападачима да преузму контролу над налозима жртава у апликацијама и услугама за које је за ауторизацију коришћен алат „Пријава помоћу Аппле-а“. Подсећамо, пријавите се помоћу Аппле-а је механизам за потврду идентитета који чува приватност и који вам омогућава да се пријавите за апликације и услуге трећих страна без откривања адресе е-поште.
Процес аутентификације Пријављивање помоћу Аппле-а генерише ЈСОН веб токен, који садржи осетљиве информације које апликација треће стране може да користи за верификацију идентитета пријављеног корисника. Искоришћавање поменуте рањивости омогућило је нападачу да фалсификује ЈВТ токен повезан са било којим корисничким ИД-ом. Као резултат тога, нападач би могао да се пријави преко функције Пријави се са Аппле-ом у име жртве у сервисе и апликације трећих страна које подржавају ову алатку.
Истраживач је пријавио рањивост Аппле-у прошлог месеца и она је сада исправљена. Поред тога, стручњаци компаније Аппле спровели су истрагу током које нису пронашли ниједан случај у којем су нападачи користили ову рањивост у пракси.
Извор: 3дневс.ру