Saugumo tyrinėtojas gauna 100 000 USD atlygį už pagalbą skvošui Prisijunkite naudodami „Apple“ klaidą
Nuotrauka: „Apple“
Saugos pažeidimas naudojant „Prisijungti naudojant„ Apple “galėjo leisti įsilaužėliams visiškai perimti naudotojų paskyrų, pasiektų naudojant šią funkciją, paskyras. Laimei, klaidą pastebėjo Indijoje įsikūręs saugumo tyrėjas Bhavukas Jainas.
A dienoraščio įrašas, paskelbtas savaitgalį, Jainas pažymėjo, kad apie pažeidžiamumą jis informavo „Apple“ dar balandį. Vėliau jis buvo sutvarkytas. Dėl „Apple“ klaidų apdovanojimo programos jam buvo sumokėta 100 000 USD kaip „Cupertino“ technologijų milžinės padėka.
Klaida buvo susijusi su žiniatinklio žetonais, sukurtais naudoti Prisijunkite naudodami „Apple“. Jainas pažymėjo, kad dėl pažeidžiamumo visi galėjo paprašyti „Apple“ bet kurio el. Pašto ID žetonų. Tada jie galėtų būti naudojami kaip žetonai tapatybei patvirtinti. Tai leistų užpuolikams suklastoti prieigos raktą, susiejant jį su el. Pašto ID. Tada jie galėtų tai naudoti norėdami gauti prieigą prie aukos paskyros.
„Šio pažeidžiamumo poveikis buvo gana kritiškas, nes jis galėjo leisti visiškai perimti sąskaitą“, - rašė Bhavukas Jainas. „Daugelis kūrėjų yra integravę„ Prisijunkite prie „Apple“, nes tai yra privaloma programoms, palaikančioms kitus socialinius prisijungimus. Keletas, kurie naudoja prisijungimą naudodami „Apple“ - „Dropbox“, „Spotify“, „Airbnb“, „Giphy“ (dabar įsigyta „Facebook“). Šios programos nebuvo išbandytos, tačiau galėjo būti pažeidžiamos dėl visiško paskyros perėmimo, jei tikrinant naudotoją nebūtų taikomos jokios kitos saugumo priemonės.
Pasak Jaino, „Apple“ atliko tyrimą ir nustatė, kad dėl šios prisijungimo prie „Apple“ klaidos nebuvo pažeistos jokios paskyros.
„Apple“ klaidų gausa
„Apple“ pristatė savo nauja, patobulinta klaidų premijų programa vasarą Las Vegase vykusioje konferencijoje „Black Hat“. „Apple“ moka iki milijono dolerių už kai kuriuos savo programinės įrangos pažeidžiamumus. „Apple“ išmokama suma yra susieta su galimu nustatytos problemos sunkumu. Pvz., Norint gauti 1 milijono dolerių atlygį, asmuo turi atrasti nulinio paspaudimo, visos grandinės kodo vykdymo išpuolį. Tuo tarpu 500 000 USD yra skirta tinklo atakai, kuriai nereikia jokios vartotojo sąveikos. Pažeidimai, aptinkami prieš išleidžiant programinę įrangą, gali uždirbti 50% premijos.
Prisijungimas naudojant „Apple“ buvo „iOS 13“ įdiegta funkcija. Tai „Apple“ reikalaujama prisijungimo sistema, kuri yra orientuota į privatumą ir dabar, tikiuosi, be klaidų, palaikoma visų programų, naudojančių trečiųjų šalių prisijungimo paslaugas, pvz., „Facebook“.