Apple выплатила эксперту $100 тыс. за обнаруженную уязвимость
Специалист по кибербезопасности из Дели Бхавук Джайн нашел уязвимость в системе авторизации "Вход в Apple". Она позволяла злоумышленникам получать доступ к аккаунтам пользователей при посещении сторонних сайтов при помощи учетной записи в Apple, сообщили в Forbes.
Функцию "Вход через Apple" запустили в 2019 году. Она, как сообщается, предназначена для сохранения конфиденциальности и контроля личных данных. При первом входе в систему программы и веб-сайты могут запрашивать для настройки учетной записи лишь имя и адрес электронной почты пользователя.
При аутентификации пользователя через "Вход в Apple" сервер генерирует ключ JSON Web Token (JWT), который содержит конфиденциальную информацию. Стороннее приложение его использует для подтверждения личности пользователя, однако, как установил Джайна, Apple не проверяла, идет ли запрос JWT от того же пользователя.
"Это означает, что злоумышленник может подделать JWT, связав с ним любой идентификатор электронной почты и получив доступ к учетной записи жертвы", — заявил специалист на своем сайте.
После того, как Джайн обнаружил уязвимость в апреле, он сообщил в Apple. Компания выплатила ему вознаграждение в 100 тысяч долларов, отметив, что до устранения уязвимости не было ни одного случая взлома учетной записи.
Ранее сообщили о том, что миллиарды гаджетов оказались под угрозой из-за уязвимости Wi-Fi.