Hindistonlik axborot xavfsizligi tadqiqotchisi Bhavuk Jeyn Apple bilan tizimga kirish funksiyasida xavfli zaiflikni aniqlagani uchun 100 000 dollar mukofot oldi.Bu xususiyat Apple qurilmalari egalari tomonidan shaxsiy identifikator yordamida uchinchi tomon ilovalari va xizmatlariga xavfsiz kirish uchun foydalaniladi.
Gap zaiflik haqida ketmoqda, undan foydalanish tajovuzkorlarga avtorizatsiya qilish uchun Apple bilan tizimga kirish vositasidan foydalanilgan ilovalar va xizmatlardagi jabrlanuvchilarning hisoblarini nazorat qilish imkonini berishi mumkin. Eslatib o‘tamiz, Apple bilan tizimga kirish maxfiylikni saqlaydigan autentifikatsiya mexanizmi bo‘lib, u sizga elektron pochta manzilingizni ko‘rsatmasdan uchinchi tomon ilovalari va xizmatlariga ro‘yxatdan o‘tish imkonini beradi.
Apple bilan tizimga kirish autentifikatsiya jarayoni uchinchi tomon ilovasi tizimga kirgan foydalanuvchi identifikatorini tekshirish uchun foydalanishi mumkin boʻlgan maxfiy maʼlumotlarni oʻz ichiga olgan JSON veb tokenini yaratadi. Yuqorida qayd etilgan zaiflikdan foydalanish tajovuzkorga har qanday foydalanuvchi identifikatori bilan bog'langan JWT tokenini soxtalashtirishga imkon berdi. Natijada, tajovuzkor ushbu vositani qo'llab-quvvatlaydigan uchinchi tomon xizmatlari va ilovalarida jabrlanuvchi nomidan Apple bilan kirish funksiyasi orqali tizimga kirishi mumkin edi.
Tadqiqotchi o'tgan oy Apple kompaniyasining zaifligi haqida xabar bergan va endi u tuzatilgan. Bundan tashqari, Apple mutaxassislari tekshiruv o'tkazdilar, uning davomida ular ushbu zaiflikdan tajovuzkorlar tomonidan amalda qo'llanilgan birorta holatni topmadilar.
Manba: 3dnews.ru