100,000$

Компания Apple, похоже, увернулся от массивных пули после того, как исследователь обнаружил зияющую дыру в его входа в систему проверки подлинности, что допускается полное поглощение счета в сторонние приложения, и, возможно, такие сервисы, как iCloud, а также.

В апреле этого года, Дели-ошибка охотника за головами Bhavuk Джейн нашли , что вход с Яблока система может легко ошибиться в передаче нотации объектов JavaScript (JSON) с проверки подлинности маркеров по любым адресам электронной почты пользователей.

Служба безопасности Apple подтвердила баг в знак стиль OAuth в системе, и заплатил Джейн США 100 000 долларов за находку.

Войдите с Apple, является обязательным для сторонних приложений, таких как Dropbox, Spotify и Airbnb, которые используют другие социальные логины, как Facebook и Google, и дает пользователям возможность уменьшить объем данных, которые они должны сдать.

Пользователи могут либо предоставить свой идентификатор Apple адрес электронной почты для сторонних приложений, или скрыть его.

В последнем случае, войдите в систему с Apple создает одноразовый идентификатор-адрес электронной почты компании Apple для пользователя, и сервер создает подписал JWT, которые проверяются с помощью криптографии с открытым ключом.

Джайн сказал, что ошибка в знаке-в код на стороне сервера проверки подлинности был “весьма критически”, как его мог допустить полного поглощения аккаунт для сервисов, которые используют вход с Яблока.

“Я нашел, я мог бы попросить маркерах JWT для любой адрес электронной почты ID от Apple, и когда signture этих Токеш была проверена с помощью открытого ключа компании Apple, показал, как действует.

Это означает, что злоумышленник может подделать вышлю, связывая любой электронный идентификатор, и получить доступ к аккаунту жертвы,” Джейн писал.

Apple сообщил Джейн, что их изучение журналов показало никакое злоупотребление или компромиссы счета от уязвимости.

Другие разработчики предположили, что ошибка могла быть использована для доступ к Apple сервисы так же, как и компании по безопасности, щедрость выплат странице перечислены премии в размере 100,000 долларов США для “широкой несанкционированного управления учетной записью iCloud”, единственная категория, которая соответствует Джайнистской отчет.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here