Специалист по кибербезопасности из Дели Бхавук Джайн выявил ошибку в системе авторизации «Вход с Apple». С помощью ее злоумышленники получали доступ к аккаунтам юзеров, если те переходили на сторонние сайты, используя учетную запись в Apple. Об этом рассказало издание Forbes.
Функция «Вход с Apple» была запущена в 2019 году. По информации американской компании, она предназначена для сохранения конфиденциальности и управления личными данными. При первом входе в систему программы ресурсы могут запрашивать для настройки учетной записи только имя и адрес электронной почты пользователя.
В процессе авторизации клиента через «Вход с Apple» сервер задействует ключ JSON Web Token (JWT). Он включает в себя конфиденциальную информацию, которую стороннее приложение использует для подтверждения личности юзера. По мнению Джайна, Apple не проверяла, запрашивает ли JWT тот же клиент.
Джайн выявил данную ошибку в апреле и сообщил об этом компании, которая заплатила ему вознаграждение в $100 тыс. В Apple уверили специалиста, что провели внутреннее расследование и выяснили, что до того, как уязвимость убрали, ни одного случая взлома учетной записи не было обнаружено.
В январе исследователи Google сообщили, что система защиты веб-браузера Safari, которая установлена на гаджетах Apple, позволяла злоумышленникам следить за пользователями. После того как коллеги сообщили компании об уязвимости, американская компания исправила ошибку.
Источник: newinform.com