தகவல் பாதுகாப்புத் துறையில் பணிபுரியும் இந்திய ஆராய்ச்சியாளர் பாவுக் ஜெயின், "ஆப்பிள் மூலம் உள்நுழை" செயல்பாட்டில் ஆபத்தான பாதிப்பைக் கண்டறிந்ததற்காக $100 வெகுமதியைப் பெற்றார் தனிப்பட்ட ஐடியைப் பயன்படுத்தி பயன்பாடுகள் மற்றும் சேவைகள்.
நாங்கள் ஒரு பாதிப்பைப் பற்றி பேசுகிறோம், இதன் பயன்பாடு, அங்கீகாரத்திற்காக Apple கருவி மூலம் உள்நுழையப் பயன்படுத்தப்பட்ட பயன்பாடுகள் மற்றும் சேவைகளில் பாதிக்கப்பட்டவர்களின் கணக்குகளை தாக்குபவர்கள் கட்டுப்படுத்த அனுமதிக்கலாம். நினைவூட்டலாக, ஆப்பிள் மூலம் உள்நுழைவது என்பது தனியுரிமையைப் பாதுகாக்கும் அங்கீகார பொறிமுறையாகும், இது உங்கள் மின்னஞ்சல் முகவரியைக் காட்டாமல் மூன்றாம் தரப்பு பயன்பாடுகள் மற்றும் சேவைகளுக்குப் பதிவு செய்ய உங்களை அனுமதிக்கிறது.
Apple அங்கீகரிப்பு செயல்முறையுடன் உள்நுழைவது JSON இணைய டோக்கனை உருவாக்குகிறது, இதில் உள்நுழைந்த பயனரின் அடையாளத்தைச் சரிபார்க்க மூன்றாம் தரப்பு பயன்பாடு பயன்படுத்தக்கூடிய முக்கியமான தகவலைக் கொண்டுள்ளது. குறிப்பிடப்பட்ட பாதிப்பின் சுரண்டல், தாக்குபவர் எந்தவொரு பயனர் ஐடியுடன் தொடர்புடைய JWT டோக்கனை உருவாக்க அனுமதித்தது. இதன் விளைவாக, தாக்குபவர் மூன்றாம் தரப்பு சேவைகள் மற்றும் இந்தக் கருவியை ஆதரிக்கும் பயன்பாடுகளில் பாதிக்கப்பட்டவரின் சார்பாக ஆப்பிள் மூலம் உள்நுழைதல் செயல்பாடு மூலம் உள்நுழைய முடியும்.
ஆராய்ச்சியாளர் கடந்த மாதம் ஆப்பிள் நிறுவனத்திற்கு பாதிப்பை அறிவித்தார், அது இப்போது சரி செய்யப்பட்டுள்ளது. கூடுதலாக, ஆப்பிள் வல்லுநர்கள் ஒரு விசாரணையை நடத்தினர், இதன் போது நடைமுறையில் தாக்குபவர்களால் இந்த பாதிப்பு பயன்படுத்தப்பட்ட ஒரு வழக்கையும் அவர்கள் கண்டுபிடிக்கவில்லை.
ஆதாரம்: 3dnews.ru