РЕКЛАМА
ИНФОРМАЦИЯ
Rambler's Top100 Рейтинг@Mail.ru

НОВОСТИ

RSS

Apple выплатит $100 000 исследователю за найденную уязвимость в процедуре авторизации

01 июня 2020, 10:13


Исследователь Бхавук Джайн обнаружил в апреле серьезную уязвимость, связанную с работой механизма авторизации через опцию «Apple Login». Выяснилось, что если злоумышленникам удалось воспользоваться этой уязвимостью в системе безопасности, то они могли получить возможность взломать учетную запись пострадавшего пользователя.

Особенность выявленной ошибки была связана с использованием процедуры авторизации через опцию «Apple Login» («Войти через Apple»), которую нередко применяют сторонние приложения для авторизации доступа через доверенные общедоступные сервисы. Обнаруженная ошибка и взлом могли возникнуть в сторонних приложениях, которые не внедрили у себя необходимых мер безопасности, чтобы применять этот сервис авторизации Apple.

Apple выплатит $100,000 исследователю за уязвимость в «Apple Login»


Как сообщил Джейн, при подключении через сервис «Вход в систему с помощью Apple» происходит аутентификация пользователя через механизм JWT (JSON Web Token). Пройдя эту процедуру, Apple предоставляет возможность делиться содержанием электронной почты, которая привязана не только к Apple ID, но и к любым частным аккаунтам любой внешней почтовой системы.




По данным отчета исследователя, после верификации для входа создается уникальный экземпляр токена JWT. Его достоверность проверяется с использованием открытого ключа Apple, позволяя получить доступ к электронной почте для Apple ID и к подписи для токена JWT. Из-за того, что дополнительных проверок не делалось, злоумышленники могли создать собственный JWT и использовать его для доступа к учетной записи скомпрометированного пользователя.

В интервью The Hacker News Джейн рассказал о серьезности обнаруженной им уязвимости. В частности, он подчеркнул, что пользователи были на 100% уверены в своей полной защищенности, потому что опция «Apple Login» широко применяется как доступный и популярный способ для аутентификации.

Исследователь также заявил, что передал полную информацию об уязвимости в Apple, и в компании ответили, что рассмотрят проблему с пристальным внимание.

Apple выплатит $100,000 исследователю за уязвимость в «Apple Login»


После дальнейшей проверки в Apple пришли к выводу, что до сих пор ни один аккаунт не был взломан с помощью описанного метода. Apple также сообщила, что найдено решение и проблема исправлена, поэтому пользователи могут продолжать использовать этот метод аутентификации для входа в любые внешние системы.

Согласно программе Apple Security Bounty, исследователь Джейн получит 100 000 долларов за сообщение об уязвимости.



Ранее редакция THG.ru опубликовала статью о повышении продуктивности работы за ПК с Windows. В этой статье мы дадим несколько советов по оптимизации работы за компьютером, которые помогут сэкономить массу времени и наверняка заметно повысят вашу продуктивность в работе. Подробнее об этом читайте в статье "Повышаем продуктивность работы за ПК с Windows: просто о важном".

Читайте также:

  • Facebook добавил «второй экран» Venue для показа прямых трансляций спортивных и иных мероприятий
  • Microsoft заменит редакторов в Microsoft News на ИИ-роботов
  • Google разработала AR-инструмент Sodar для контроля безопасной дистанции с Android-смартфона
  • Facebook запустил проверку пользователей на достоверность предоставленных ими личных данных
  • «Remote Cheerer» от Yamaha сделало участие фанатов на «пустых» стадионах реальностью
  • следующая новость
    Анонс MSI Creator 15: ноутбук для художников и графических дизайнеров

    предыдущая новость
    Первая партия игровых консолей VCS Atari будет изготовлена в июне

     



    Свежие статьи
    RSS
    Лучшие игровые ноутбуки: текущий анализ рынка Термопасты: применение и выбор Главные новости за неделю Лучшие мониторы для игр: текущий анализ рынка Обзор Aruba HPE InstantOn АР11 и AP11D: простое решение для беспроводной сети предприятия
    Лучшие игровые ноутбуки Обзор и тестирование корпуса Cooler Master MasterCase SL600M Black Главные новости за неделю Лучший монитор Обзор Zyxel XGS1930-28HP
    РЕКЛАМА
    РЕКОМЕНДУЕМ ПРОЧЕСТЬ!
    ПОСЛЕДНИЕ НОВОСТИ

    Microsoft портирует Java для Windows 10 на платформу ARM

    TSMC выйдет на массовый выпуск процессоров на базе 2 нм технорм уже в 2023 году

    OnePlus Nord будет оснащен селфи-камерой с углом захвата 105°

    Цветные фильтры позволят уменьшить толщину OLED-дисплеев смартфонов

    Samsung ожидает массового распространения 6G к 2030 году

    Samsung планирует закупить у LG Display ЖК-панели на сумму 0,83 млрд долларов

    HP анонсировала линейку 2,5-дюймовых твердотельных накопителей

    Twitch снял двухнедельную блокировку с Президента США за проявление неуважения к мексиканским мигрантам

    Анонс GIGABYTE GA-IMB410TN: материнская плата для компактных настольных ПК

    Wi-Fi 6-роутеры от Xiaomi и Redmi можно будет объединить в mesh-сеть

    Неофициальные бенчмарки будущего чипа Intel Xe показали, что графика Iris будет работать на частоте 1,3 ГГц

    Lego представила конструктор в виде Nintendo NES

    Realme выпустит экспериментальный смартфон со сверхмощной батареей 6000 мАч

    Apple Watch помогли 22-летнему пользователю обнаружить порок сердца


    13 июля, 2020

    Microsoft добавит поддержку Windows.Gaming.Input API для Chromium-браузеров в Windows 10 и Windows 10X

    Samsung инвестирует 83 миллиона долларов в научные работы в сфере технологий отображения и производства чипсетов

    ССЫЛКИ