Apple заплатила исследователю 100 тыс. долларов за найденную в системе авторизации опасную уязвимость
1 июня 2020 года
Компания Apple выплатила 100 тыс. долларов специалисту по кибербезопасности по имени Бавук Джайн, который сообщил Apple о критической уязвимости в системе авторизации "Войти через Apple".
Суть уязвимости Джайн подробно описал на своем сайте. Она заключалась в том, что хакеры могли получить доступ к аккаунтам пользователей в сторонних сервисах, если те входили, используя аккаунт в Apple. Такая возможность взлома существовала, поскольку система Apple после ввода данных Apple ID не проверяла, запрашивает ли ключ JSON Web Token (JWT) тот же пользователь.
Как обнаружил исследователь, из-за отсутствия проверки, серверы Apple можно было заставить генерировать корректные токены на аккаунты жертв. Сторонние сервисы принимали их, а значит злоумышленник мог получить доступ к аккаунту, если пользователь использовал вход через Apple, пишет TJ. Проблема не затрагивала сами аккаунты Apple ID, но защитить сторонние аккаунты не могла даже функция подстановки случайного адреса электронной почты на серверах компании вместо настоящих данных пользователей
В Apple сообщили Джайну об устранении уязвимости, а также отметили, что проверка не обнаружила ни одного случая практического использования уязвимости. Полученное экспертом вознаграждение является максимально возможным в рамках программы Apple по поощрению специалистов, нашедших уязвимости (bug bounty).
Функция "Войти через Apple" была представлена в прошлом году на конференции для разработчиков WWDC. В ходе той презентации в компании подчеркивали безопасность системы. Так, в Apple отмечали, что она позволяет авторизовываться в сторонних сервисах с помощью биометрии Face ID и Touch ID, не передавая личных данных пользователей. После этого возможность авторизации при помощи этой функции внедрили многие сайты и сервисы.
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.