Дослідник безпеки Бхавук Джайн виявив небезпечну уразливість в функції «Вхід з Apple». Експлуатація уразливості дозволяє зловмисникові віддалено обійти аутентифікацію і перехопити контроль над обліковими записами цільових користувачів в сторонніх службах і додатках, для авторизації в яких використовувалася функція «Вхід з Apple».
Запущена в минулому році функція «Вхід з Apple» була представлена в якості можливості авторизації зі збереженням конфіденційності, дозволяючи реєструвати облікові записи в сторонніх додатках без розкриття адреси електронної пошти.
Уразливість була пов’язана з тим, як Apple перевіряла користувача на стороні клієнта перед ініціацією запиту з серверів перевірки автентичності Apple. Під час аутентифікації користувача через функцію «Вхід з Apple» сервер генерує JSON Web Token (JWT), що містить конфіденційну інформацію, яку сторонній додаток використовує для підтвердження особи користувача, що увійшов в систему. Хоча компанія просить користувачів увійти в свій обліковий запис Apple перед початком запиту, вона не перевіряла, запитує чи та ж людина JSON Web Token (JWT) на наступному кроці зі свого сервера аутентифікації.
ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ
Таким чином, відсутність даної перевірки могло дозволити зловмиснику надати Apple ID, що належить жертві, обманюючи сервери Apple з метою створення корисного навантаження JWT і входу в сторонній сервіс з використанням даних жертви.
За словами фахівця, вразливість може бути проексплуатовано, навіть якщо користувач приховав свій ідентифікатор електронної пошти від сторонніх служб, і може також використовуватися для реєстрації нового облікового запису з ідентифікатором Apple ID жертви.
Бхавук повідомив про свої знахідки команді безпеки Apple в минулому місяці, і компанія виправила дану уразливість.
Компанія Google додала в пошуковий рядок свого браузера Chrome можливості нейромереж. Як розповіли розробники у…
Італійська компанія Linky Innovation представила оновлений складний електричний лонгборд Kickstarter. Оригінальний Linky був анонсований ще…
Користувачі Android-смартфонів зіткнулися з неприємною проблемою – не вдається відправити відео до WhatsApp. При спробі…
Huawei готується до випуску смартфонів середнього класу nova 13 Pro та 13 Ultra, і в…
Провідний експерт нашого сайту Митник Михайло попередив про ризики, пов'язані з використанням незахищених громадських точок…
Євросоюз повідомив про те, що скоро на iPadOS теж будуть доступні сторонні магазини програм, як…