Приблизний час читання: 4 хв

Експерт отримав $ 100 тис від Apple за виявлення уразливості

0

Спеціаліст з кібербезпеки з Делі Бхавук Джайн виявив помилку в системі авторизації «Вхід з Apple». За допомогою її зловмисники отримували доступ до акаунтів користувачів, якщо ті переходили на сторонні сайти, використовуючи обліковий запис в Apple. Про це розповіло видання Forbes.

Функція «Вхід з Apple» була запущена в 2019 році. За інформацією американської компанії, вона призначена для збереження конфіденційності та управління особистими даними. При першому вході в систему програми ресурси можуть запитувати для настройки облікового запису тільки ім’я та адресу електронної пошти користувача.

В процесі авторизації клієнта через «Вхід з Apple» сервер задіє ключ JSON Web Token (JWT). Він включає в себе конфіденційну інформацію, яку сторонній додаток використовує для підтвердження особи користувача. На думку Джайна, Apple не перевіряла, запитує чи JWT той же клієнт.

Читайте також  Xiaomi Mi Band 5 вперше знизився в ціні

Джайн виявив цю помилку в квітні і повідомив про це компанії, яка заплатила йому винагороду в $ 100 тис. У Apple запевнили фахівця, що провели внутрішнє розслідування і з’ясували, що до того, як уразливість прибрали, жодного випадку злому облікового запису не було виявлено.

У січні дослідники Google повідомили, що система захисту веб-браузера Safari, яка встановлена ​​на гаджетах Apple, дозволяла зловмисникам стежити за користувачами. Після того як колеги повідомили компанії про уразливість, американська компанія виправила помилку.

ПРОКОМЕНТУЙ

Будь ласка, введіть свій коментар!
Будь ласка, введіть своє ім'я тут