Mtafiti wa Kihindi Bhavuk Jain, ambaye anafanya kazi katika uwanja wa usalama wa habari, alipokea zawadi ya $100 kwa kugundua udhaifu hatari katika kipengele cha "Ingia ukitumia Apple." Chaguo hili la utendakazi hutumiwa na wamiliki wa vifaa vya Apple ili kupata idhini salama kutoka kwa wahusika wengine. programu na huduma kwa kutumia kitambulisho cha kibinafsi.
Tunazungumza juu ya athari, ambayo matumizi yake yanaweza kuruhusu washambuliaji kuchukua udhibiti wa akaunti za wahasiriwa katika programu na huduma ambazo zana ya Kuingia kwa kutumia Apple ilitumiwa kuidhinisha. Kama ukumbusho, Kuingia kwa kutumia Apple ni njia ya uthibitishaji inayohifadhi faragha ambayo hukuruhusu kujiandikisha kwa programu na huduma za watu wengine bila kufichua anwani yako ya barua pepe.
Mchakato wa Kuingia kwa kutumia Apple hutengeneza Tokeni ya Wavuti ya JSON, ambayo ina taarifa nyeti ambayo programu ya mtu mwingine inaweza kutumia ili kuthibitisha utambulisho wa mtumiaji aliyeingia katika akaunti. Utumiaji wa udhaifu uliotajwa uliruhusu mshambuliaji kutengeneza tokeni ya JWT inayohusishwa na kitambulisho chochote cha mtumiaji. Kwa hivyo, mshambulizi anaweza kuingia kupitia Ingia kwa kutumia kipengele cha Apple kwa niaba ya mwathiriwa katika huduma na programu za watu wengine zinazotumia zana hii.
Mtafiti aliripoti hatari hiyo kwa Apple mwezi uliopita na sasa imerekebishwa. Kwa kuongeza, wataalamu wa Apple walifanya uchunguzi, wakati ambao hawakupata kesi moja ambayo hatari hii ilitumiwa na washambuliaji katika mazoezi.
Chanzo: 3dnews.ru