Новости Software

Уязвимость в функции «Вход с Apple» могла использоваться для взлома любых аккаунтов

За обнаружение опасной уязвимости в функции «Вход с Apple» индийский исследователь Бхавук Джайн (Bhavuk Jain), работающий в сфере информационной безопасности, получил вознаграждение в размере $100 000. Данная функция используется владельцами устройств Apple для безопасной авторизации в сторонних приложениях и сервисах с помощью персонального идентификатора.

Речь идёт об уязвимости, использование которой могло позволить злоумышленникам взять под контроль учётные записи жертв в приложениях и сервисах, для авторизации в которых использовался инструмент «Вход с Apple». Напомним, функция «Вход с Apple» представляет собой механизм аутентификации с сохранением конфиденциальности, который позволяет регистрироваться в сторонних приложениях и сервисах, не раскрывая адреса электронной почты.

В процессе аутентификации с помощью функции «Вход с Apple» происходит генерация JSON Web Token, который содержит в себе конфиденциальную информацию, используемую сторонним приложением для подтверждения личности вошедшего в систему пользователя. Эксплуатация упомянутой уязвимости позволяла злоумышленнику подделать токен JWT, связанный с идентификатором любого пользователя. В результате злоумышленник мог получить возможность авторизоваться через функцию «Вход с Apple» от имени жертвы в сторонних сервисах и приложениях, поддерживающих данный инструмент.

Исследователь сообщил в Apple об обнаруженной уязвимости в прошлом месяце и к настоящему моменту она уже была устранена. Кроме того, специалисты Apple провели расследование, в ходе которого не было обнаружено ни одного случая, когда данная уязвимость использовалась злоумышленниками на практике.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Знаменитый сумчатый барсук на смартфонах: представлена Crash Bandicoot: On the Run 39 мин.
Игроки в CS:GO пожаловались на новый античит — он требует закрыть голосовые чаты и другое ПО, не связанное с шутером 42 мин.
Кооперативный экшен Warhammer: Chaosbane выйдет на PS5 и Xbox Series X 45 мин.
Новая статья: Обзор 10 программ для ведения заметок: выбираем лучший вариант 4 ч.
Valve выпустила новый античит для CS:GO — он запрещает сторонним программам взаимодействовать с игрой 4 ч.
Первый пострелизный патч для Xenoblade Chronicles: Definitive Edition позволил отключить надоедливые подсказки 5 ч.
Для TES III: Morrowind вышел мод, убирающий намёки на сексуальное домогательство — пользователям он не понравился 5 ч.
История в стиле «Твин Пикс» и «Лютер»: дата выхода консольных версий детектива Rainswept 5 ч.
PayPal закроет переводы для россиян внутри страны 5 ч.
Автор Final Fantasy IX хотел бы увидеть продолжение игры 5 ч.