Новости Apple выплатила эксперту $100 тыс. за обнаруженную уязвимость

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.099
Репутация
11.695
Реакции
61.889
RUB
50
Специалист по кибербезопасности из Дели Бхавук Джайн нашел уязвимость в системе авторизации "Вход в Apple". Она позволяла злоумышленникам получать доступ к аккаунтам пользователей при посещении сторонних сайтов при помощи учетной записи в Apple, сообщили в Forbes.

Функцию "Вход через Apple" запустили в 2019 году. Она, как сообщается, предназначена для сохранения конфиденциальности и контроля личных данных. При первом входе в систему программы и веб-сайты могут запрашивать для настройки учетной записи лишь имя и адрес электронной почты пользователя.

При аутентификации пользователя через "Вход в Apple" сервер генерирует ключ JSON Web Token (JWT), который содержит конфиденциальную информацию. Стороннее приложение его использует для подтверждения личности пользователя, однако, как установил Джайна, Apple не проверяла, идет ли запрос JWT от того же пользователя.

"Это означает, что злоумышленник может подделать JWT, связав с ним любой идентификатор электронной почты и получив доступ к учетной записи жертвы", — заявил специалист на своем сайте.

После того, как Джайн обнаружил уязвимость в апреле, он сообщил в Apple. Компания выплатила ему вознаграждение в 100 тысяч долларов, отметив, что до устранения уязвимости не было ни одного случая взлома учетной записи.

Ранее о том, что миллиарды гаджетов оказались под угрозой из-за уязвимости Wi-Fi.
 
Сверху Снизу