Den indiske sÀkerhetsforskaren Bhavuk Jain har fÄtt en belöning pÄ 100 000 dollar för att ha upptÀckt en farlig sÄrbarhet i funktionen Logga in med Apple. Den hÀr funktionen anvÀnds av Àgare av Apple-enheter för att sÀkert logga in pÄ tredjepartsappar och tjÀnster med ett personligt ID.
SÄrbarheten i frÄga kunde ha gjort det möjligt för angripare att ta kontroll över offrens konton i appar och tjÀnster som anvÀnde verktyget Logga in med Apple för auktorisering. Som en pÄminnelse Àr Logga in med Apple en integritetsbevarande autentiseringsmekanism som lÄter dig logga in pÄ tredjepartsappar och tjÀnster utan att avslöja din e-postadress.
Autentiseringsprocessen Logga in med Apple genererar en JSON-webbtoken, som innehÄller kÀnslig information som en tredjepartsapplikation anvÀnder för att verifiera den inloggade anvÀndarens identitet. Genom att utnyttja den nÀmnda sÄrbarheten kunde en angripare förfalska en JWT-token associerad med en anvÀndares identifierare. Som ett resultat skulle angriparen kunna logga in via funktionen Logga in med Apple Ät offret i tredjepartstjÀnster och -applikationer som stöder detta verktyg.
Forskaren rapporterade sÄrbarheten hos Apple förra mÄnaden och den har nu ÄtgÀrdats. Dessutom genomförde Apple-specialister en utredning, under vilken de inte hittade ett enda fall dÀr denna sÄrbarhet utnyttjades av angripare i praktiken.
KĂ€lla: 3dnews.ru
