У «Войти с Apple» была серьёзная уязвимость, но её уже устранили — Wylsacom
Безлимитный YouTube и всё для общения

У «Войти с Apple» была серьёзная уязвимость, но её уже устранили

Разработчика наградили 100 тысячами долларов за поиск уязвимости.

Если помните, в прошлом году Apple объявила, что будет вознаграждать исследователей безопасности за обнаружение уязвимостей в продуктах и операционных системах компании:

Специалист по кибербезопасности Бавук Джайн опубликовал материал, где рассказал о найденной им уязвимости в системе «Войти с Apple», которую презентовали на прошлой WWDC как универсальное решение для авторизации на сайтах и в приложениях.

Но не рассчитывайте воспользоваться уязвимостью и украсть чьи-нибудь данные — её устранили ещё в апреле, а Джайн получил вознаграждение в размере 100 тысяч долларов — максимальное из возможных. Собственно, после устранения и всех проверок разрешили опубликовать разбор уязвимости.

В чём была проблема?

Проблема только частично затрагивает «Войти с Apple», но больше зависит от приложений, где используется такой способ аутентификации.

Из-за отсутствия проверки серверы Apple можно было заставить генерировать корректные токены на аккаунты жертв. Если в приложении не предусмотрена защита данных, токен можно выдать как действительный, а значит, получить доступ к аккаунту не составляет никакого труда, даже если использовалась подменная электронная почта. При этом сами аккаунты Apple ID никак не затрагивались, только аккаунты сервисов без защиты.

В приложении Wylsacom Media можно авторизоваться с помощью Apple ID

Как я уже сказал, уязвимость устранили. Apple также заявила, что уязвимостью никто не воспользовался.

Предложения магазинов