Varnostni raziskovalec je dobil 100.000 dolarjev za pomoč pri skvošanju pri prijavi z napako Apple
Foto: Apple
Varnostna ranljivost z možnostjo »Prijava z Appleom« bi lahko hekerjem omogočila popoln prevzem uporabniških računov, do katerih dostopate s to funkcijo. Na srečo je napako opazil indijski varnostni raziskovalec Bhavuk Jain.
V objava na blogu, objavljena konec tedna, Jain je opozoril, da je Apple opozoril na ranljivost že aprila. Kasneje je bilo popravljeno. Zahvaljujoč Applovemu programu nagrajevanja hroščev so mu nato kot zahvalo tehnološkega velikana iz Cupertina plačali 100.000 dolarjev.
Napaka je vključevala težavo s spletnimi žetoni, ustvarjenimi za uporabo Prijavite se z Appleom. Jain je opozoril, da je ranljivost vsem omogočila, da od Apple zahtevajo žetone za kateri koli ID e -pošte. Te bi lahko nato uporabili kot žetone za preverjanje identitete. Tako bi napadalci lahko ustvarili žeton tako, da ga povežejo z e -poštnim ID -jem. Nato bi to lahko uporabili za dostop do računa žrtve.
"Vpliv te ranljivosti je bil precej kritičen, saj bi lahko omogočil popoln prevzem računa," je zapisal Bhavuk Jain. »Številni razvijalci so prijavo v Apple integrirali, saj je obvezna za aplikacije, ki podpirajo druge prijave v družabna omrežja. Če naštejemo le nekatere, ki uporabljajo Prijava z Appleom - Dropbox, Spotify, Airbnb, Giphy (zdaj jih je pridobil Facebook). Te aplikacije niso bile preizkušene, vendar bi bile lahko ranljive za popoln prevzem računa, če med preverjanjem uporabnika ne bi bili sprejeti drugi varnostni ukrepi. "
Po Jainovih besedah je Apple izvedel preiskavo in ugotovil, da zaradi te prijave z napako Apple ni bil ogrožen noben račun.
Appleova nagrada za hrošče
Apple je predstavil svojo nov, izboljšan program nagrajevanja hroščev na konferenci Black Hat v Las Vegasu lani poleti. Apple plača do milijon dolarjev za nekatere odkrite pomanjkljivosti v svoji programski opremi. Znesek, ki ga Apple izplača, je povezan z morebitno resnostjo odkrite težave. Na primer, nagrada v višini 1 milijona dolarjev zahteva, da oseba odkrije napad z izvajanjem kode jedra s polno verigo brez klika. Medtem je 500.000 USD namenjenih omrežnemu napadu, ki ne zahteva interakcije uporabnika. Ranljivosti, odkrite pred izdajo programske opreme, lahko zaslužijo 50% bonus.
Prijava v Apple je bila funkcija, uvedena v iOS 13. Gre za sistem za prijavo, osredotočen na zasebnost-in zdaj, upajmo, brez napak-, ki ga potrebuje Apple, podpirajo vse aplikacije, ki uporabljajo storitve za prijavo tretjih oseb, kot je Facebook.