ГлавнаябезопасностьКритическая уязвимость нулевого дня обнаружена в «Войти через Apple»

Критическая уязвимость нулевого дня обнаружена в «Войти через Apple»

Войти через Apple

Как один обнаружил исследователь безопасность от Индия, уязвимость нулевого дня, который существует в “Войти через Apple", Позволяет злоумышленникам получать контроль над учетными записями приложений, просто получая их электронный идентификатор.

Словно OAuth 2.0, «Войти через Apple» помогает пользователям быстрее подключаться к сторонним приложениям без необходимости вводить большой объем информации, просто используя свой Apple ID.

Эта функция используется тысячами пользователей для подключения к сторонним приложениям, таким как Dropbox, Spotify, Airbnb, Giphy и ошибка был описан как «критический», поскольку он мог позволить полный контроль над учетной записью удаленными злоумышленниками.

Бхавук Джайн, индийский исследователь безопасности, впервые обнаруживший ошибку, немедленно сообщил об этом Apple«Успешная эксплуатация ошибки может привести к полному контролю учетных записей пользователей в этом стороннем приложении, независимо от того, имеет ли жертва действующий Apple ID или нет», - сказал он.

Об уязвимости нулевого дня

Как объясняет Джейн, Apple использует JWT (JSON Web Token), созданный сервером Apple для проверки подлинности пользователь, чтобы предоставить ему безопасный идентификатор электронной почты и разрешить ему подключаться к стороннему приложению.

Однако из-за неправильной проверки эта ошибка позволяет злоумышленникам запрашивать JWT для любого идентификатора электронной почты у Apple, а затем проверяется как действительный с использованием открытого ключа Apple.

Это позволяет злоумышленнику злоупотреблять JWT для подключения к любому идентификатору электронной почты и получения доступа к сторонней учетной записи жертвы.

Джейн также подтвердил, что ошибка может быть использована учетной записью пользователя, так как Apple создает свой собственный идентификатор электронной почты для каждого пользователь.

Apple вознаградила исследователя 100,000 XNUMX долларов за отчет об этой критической ошибке. Служба безопасности Apple подтвердила, что ошибка не была вызвана каким-либо вредоносным фактором, после поиска, который сейчас исправлен.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением
spot_img

ЖИВЫЕ НОВОСТИ