Спеціаліст з кібербезпеки з Делі Бхавук Джайн виявив помилку в системі авторизації «Вхід з Apple». За допомогою її зловмисники отримували доступ до акаунтів користувачів, якщо ті переходили на сторонні сайти, використовуючи обліковий запис в Apple. Про це розповіло видання Forbes.
Функція «Вхід з Apple» була запущена в 2019 році. За інформацією американської компанії, вона призначена для збереження конфіденційності та управління особистими даними. При першому вході в систему програми ресурси можуть запитувати для настройки облікового запису тільки ім’я та адресу електронної пошти користувача.
В процесі авторизації клієнта через «Вхід з Apple» сервер задіє ключ JSON Web Token (JWT). Він включає в себе конфіденційну інформацію, яку сторонній додаток використовує для підтвердження особи користувача. На думку Джайна, Apple не перевіряла, запитує чи JWT той же клієнт.
Джайн виявив цю помилку в квітні і повідомив про це компанії, яка заплатила йому винагороду в $ 100 тис. У Apple запевнили фахівця, що провели внутрішнє розслідування і з’ясували, що до того, як уразливість прибрали, жодного випадку злому облікового запису не було виявлено.
У січні дослідники Google повідомили, що система захисту веб-браузера Safari, яка встановлена на гаджетах Apple, дозволяла зловмисникам стежити за користувачами. Після того як колеги повідомили компанії про уразливість, американська компанія виправила помилку.