Badacz bezpieczeństwa zgarnął nagrodę w wysokości 100 000 USD za pomoc w squash Zaloguj się za pomocą błędu Apple
Zdjęcie: Jabłko
Luka w zabezpieczeniach „Zaloguj się przez Apple” mogła pozwolić hakerom na pełne przejęcie kont użytkowników, do których uzyskano dostęp za pomocą tej funkcji. Na szczęście błąd został zauważony przez indyjskiego badacza bezpieczeństwa Bhavuka Jaina.
W wpis na blogu opublikowany w weekendJain zauważył, że w kwietniu poinformował Apple o luce w zabezpieczeniach. Zostało to później naprawione. Dzięki programowi bug bounty firmy Apple otrzymał 100 000 USD jako podziękowanie od giganta technologicznego z Cupertino.
Błąd dotyczył problemu z tokenami internetowymi wygenerowanymi do użytku Zaloguj się za pomocą Apple. Jain zauważył, że luka umożliwiła każdemu zażądanie tokenów dla dowolnego identyfikatora e-mail od Apple. Mogłyby one następnie zostać wykorzystane jako tokeny do weryfikacji tożsamości. Umożliwiłoby to atakującym sfałszowanie tokena poprzez powiązanie go z identyfikatorem e-mail. Mogliby wtedy wykorzystać to, aby uzyskać dostęp do konta ofiary.
„Wpływ tej luki był dość krytyczny, ponieważ mógł pozwolić na pełne przejęcie konta” – napisał Bhavuk Jain. „Wielu programistów zintegrowało Zaloguj się z Apple, ponieważ jest to obowiązkowe w przypadku aplikacji obsługujących inne logowania społecznościowe. Aby wymienić kilka, które używają Zaloguj się przez Apple – Dropbox, Spotify, Airbnb, Giphy (teraz przejęte przez Facebook). Te aplikacje nie zostały przetestowane, ale mogły być narażone na pełne przejęcie konta, gdyby podczas weryfikacji użytkownika nie zastosowano żadnych innych środków bezpieczeństwa”.
Według Jaina firma Apple przeprowadziła dochodzenie i ustaliła, że żadne konta nie zostały naruszone z powodu tego błędu Zaloguj się za pomocą Apple.
Nagroda za błąd Apple
Apple wprowadziło swoje nowy, ulepszony program bug bounty na konferencji Black Hat w Las Vegas zeszłego lata. Apple płaci do 1 miliona dolarów za niektóre wykryte luki w swoim oprogramowaniu. Kwota, którą Apple wypłaca, jest powiązana z potencjalną powagą wykrytego problemu. Na przykład nagroda w wysokości 1 miliona dolarów wymaga, aby osoba odkryła atak polegający na wykonaniu pełnego łańcucha kodu jądra bez kliknięcia. Tymczasem 500 000 USD to atak sieciowy niewymagający interakcji użytkownika. Luki, które zostaną znalezione przed wydaniem oprogramowania, mogą dać 50% premii.
Zaloguj się przez Apple to funkcja wprowadzona w iOS 13. Jest to skoncentrowany na prywatności – i miejmy nadzieję, wolny od błędów – system logowania, którego Apple wymaga, aby był obsługiwany przez dowolne aplikacje korzystające z usług logowania innych firm, takich jak Facebook.