Исследователь безопасности получил награду в размере 100 000 долларов за помощь в сквоше Войти с ошибкой Apple
Фотография: Apple
Уязвимость системы безопасности «Войти через Apple» могла позволить хакерам осуществить полный захват учетных записей пользователей, к которым осуществляется доступ с помощью этой функции. К счастью, баг был обнаружен индийским исследователем безопасности Бхавуком Джайном.
В сообщение в блоге опубликовано на выходныхДжайн отметил, что еще в апреле сообщил Apple об уязвимости. Впоследствии это было исправлено. Благодаря программе Apple bug bounty, он получил 100 000 долларов в качестве благодарности от технологического гиганта из Купертино.
Ошибка связана с проблемой с веб-токенами, созданными для использования Войти через Apple. Джейн отметил, что уязвимость позволяет любому пользователю запрашивать токены для любого идентификатора электронной почты у Apple. Затем их можно использовать в качестве токенов для проверки личности. Это позволит злоумышленникам подделать токен, связав его с идентификатором электронной почты. Затем они могли использовать это, чтобы получить доступ к учетной записи жертвы.
«Воздействие этой уязвимости было весьма критическим, поскольку она могла позволить полностью захватить аккаунт», - написал Бхавук Джайн. «Многие разработчики интегрировали функцию входа в систему Apple, поскольку она является обязательной для приложений, поддерживающих вход в другие социальные сети. Вот некоторые из тех, кто использует вход через Apple - Dropbox, Spotify, Airbnb, Giphy (теперь приобретен Facebook). Эти приложения не тестировались, но могли быть уязвимы для полного захвата аккаунта, если бы не применялись другие меры безопасности при проверке пользователя ».
По словам Джейна, Apple провела расследование и определила, что ни одна учетная запись не была взломана из-за этой ошибки входа в систему с помощью Apple.
Награда за баги от Apple
Apple представила свой новая, улучшенная программа вознаграждения за ошибки на конференции Black Hat в Лас-Вегасе прошлым летом. Apple платит до 1 миллиона долларов за обнаруженные уязвимости в своем программном обеспечении. Сумма, выплачиваемая Apple, зависит от потенциальной серьезности обнаруженной проблемы. Например, для получения вознаграждения в 1 миллион долларов необходимо, чтобы человек обнаружил атаку с выполнением полной цепочки кода ядра с нулевым щелчком. Между тем, 500 000 долларов предназначены для сетевой атаки, не требующей взаимодействия с пользователем. Уязвимости, обнаруженные до выпуска программного обеспечения, могут принести бонус в размере 50%.
Вход через Apple - это функция, представленная в iOS 13. Это ориентированная на конфиденциальность - и теперь, будем надеяться, безошибочная - система входа в систему, которая требуется Apple, поддерживается любыми приложениями, которые используют сторонние службы входа, такие как Facebook.