Функція "Вхід через Apple" ненадійна — компанія заплатила експерту $ 100 тис за знайдену уразливість

Фахівець з кібербезпеки з Делі Бхавук Джайн виявив уразливість в системі авторизації "Вхід в Apple". Вона дозволяла зловмисникам отримати доступ до акаунтів користувачів, якщо ті заходили на сторонні сайти за допомогою облікового запису в Apple, передає Forbes.

Функція "Вхід через Apple" була запущена в минулому році. Як повідомляє компанія, вона призначена для збереження конфіденційності та контролю особистих даних. При першому вході в систему програми і веб-сайти можуть запросити для налаштування облікового запису тільки адресу електронної пошти та ім'я користувача.

В процесі аутентифікації користувача через "Вхід в Apple" сервер генерує ключ JSON Web Token (JWT). Він містить конфіденційну інформацію, яку стороннє додаток використовує для підтвердження особи користувача. За словами Джайни, Apple не перевіряла, чи запитує JWT той же користувач.

"Це означає, що зловмисник може підробити JWT, пов'язавши з ним будь-ідентифікатор електронної пошти та отримавши доступ до облікового запису жертви", - повідомив він на своєму сайті.

Джайн виявив уразливість в квітні і повідомив про це компанії, яка виплатила йому винагороду в $ 100 тис. В Apple розповіли експерту, що провели внутрішнє розслідування і з'ясували, що до того, як вразливість усунули, жодного випадку злому облікового запису не було зафіксовано.

У січні дослідники Google виявили, що система захисту веб-браузера Safari, яка встановлена на пристроях Apple, дозволяла зловмисникам стежити за користувачами. Після того, як колеги повідомили компанії про уразливості, Apple виправила помилку.

Раніше Директор Центру з контролю і профілактики захворювань США Роберт Редфілд заявив про те, що швидке поширення коронавіруса COVID-19 в південній півкулі говорить про те, що він, ймовірно, знову спалахне в США восени і взимку, що підвищить ймовірність другого раунду карантинних обмежень для економіки в цьому році.