సమాచార భద్రత రంగంలో పనిచేస్తున్న భారతీయ పరిశోధకుడు భావుక్ జైన్, "ఆపిల్తో సైన్ ఇన్ చేయి" ఫంక్షన్లో ప్రమాదకరమైన దుర్బలత్వాన్ని కనుగొన్నందుకు $100 రివార్డ్ను అందుకున్నారు వ్యక్తిగత IDని ఉపయోగించి అప్లికేషన్లు మరియు సేవలు.
మేము దుర్బలత్వం గురించి మాట్లాడుతున్నాము, దీని ఉపయోగం ద్వారా దాడి చేసేవారు బాధితుల ఖాతాలపై నియంత్రణ సాధించడానికి అనుమతించే అప్లికేషన్లు మరియు సేవల్లో Apple టూల్తో సైన్ ఇన్ చేయడం అధికారం కోసం ఉపయోగించబడింది. రిమైండర్గా, Appleతో సైన్ ఇన్ చేయడం అనేది మీ ఇమెయిల్ చిరునామాను బహిర్గతం చేయకుండానే మూడవ పక్ష యాప్లు మరియు సేవల కోసం సైన్ అప్ చేయడానికి మిమ్మల్ని అనుమతించే గోప్యతను సంరక్షించే ప్రమాణీకరణ విధానం.
Apple ప్రామాణీకరణ ప్రక్రియతో సైన్ ఇన్ చేయడం JSON వెబ్ టోకెన్ను ఉత్పత్తి చేస్తుంది, సైన్ ఇన్ చేసిన వినియోగదారు గుర్తింపును ధృవీకరించడానికి మూడవ పక్షం అప్లికేషన్ ఉపయోగించగల సున్నితమైన సమాచారాన్ని కలిగి ఉంటుంది. పేర్కొన్న దుర్బలత్వం యొక్క దోపిడీ దాడి చేసే వ్యక్తి ఏదైనా వినియోగదారు IDతో అనుబంధించబడిన JWT టోకెన్ను నకిలీ చేయడానికి అనుమతించింది. ఫలితంగా, దాడి చేసే వ్యక్తి ఈ టూల్కి మద్దతిచ్చే థర్డ్-పార్టీ సర్వీస్లు మరియు అప్లికేషన్లలో బాధితుడి తరపున ఆపిల్ ఫంక్షన్తో సైన్ ఇన్ చేయడం ద్వారా లాగిన్ చేయగలరు.
పరిశోధకుడు గత నెలలో Appleకి హానిని నివేదించారు మరియు అది ఇప్పుడు పరిష్కరించబడింది. అదనంగా, ఆపిల్ నిపుణులు విచారణ నిర్వహించారు, ఈ సమయంలో వారు ఆచరణలో దాడి చేసేవారు ఈ దుర్బలత్వాన్ని ఉపయోగించిన ఒక్క కేసును కూడా కనుగొనలేదు.
మూలం: 3dnews.ru