Истраживач безбедности добија награду од 100.000 долара за помоћ при сквошу Пријавите се помоћу Аппле грешке
Фотографија: Аппле
Безбедносна рањивост помоћу опције „Пријави се са Апплеом“ могла је хакерима омогућити да у потпуности преузму корисничке налоге којима се приступа помоћу ове функције. На срећу, грешку је уочио индијски истраживач безбедности Бхавук Јаин.
У а пост на блогу објављен током викенда, Јаин је напоменуо да је Аппле још у априлу обавестио о рањивости. Накнадно је поправљено. Захваљујући Аппле -овом програму за ублажавање грешака, тада му је плаћено 100.000 долара у знак захвалности од технолошког гиганта из Купертина.
Грешка је укључивала проблем са веб токенима генерисаним за употребу Пријавите се помоћу Аппле -а. Јаин је напоменуо да је рањивост омогућила било коме да захтева токене за било који ИД е -поште од Аппле -а. Они би се затим могли користити као токени за проверу идентитета. Ово би омогућило нападачима да фалсификују жетон повезујући га са ИД -ом е -поште. Тада би то могли искористити за приступ рачуну жртве.
„Утицај ове рањивости био је прилично критичан јер је могао дозволити потпуно преузимање рачуна“, написао је Бхавук Јаин. „Многи програмери су интегрисали пријаву са Аппле -ом јер је то обавезно за апликације које подржавају друге друштвене пријаве. Да наведемо неке који користе Пријавите се помоћу Аппле -а - Дропбок, Спотифи, Аирбнб, Гипхи (сада их је набавио Фацебоок). Ове апликације нису тестиране, али су могле бити подложне потпуном преузимању рачуна да нису постојале друге сигурносне мере током провере корисника. "
Према Јаин -у, Аппле је спровео истрагу и утврдио да ниједан налог није компромитован због овог пријављивања са Аппле грешком.
Јабукова награда за грешке
Аппле је представио своју нови, побољшани програм за надгледање грешака на конференцији Блацк Хат у Лас Вегасу прошлог лета. Аппле плаћа до милион долара за неке откривене рањивости у свом софтверу. Износ који Аппле исплаћује везан је за потенцијалну озбиљност откривеног проблема. На пример, награда од милион долара захтева од особе да открије напад извршења кода језгре са пуним ланцем без клика. У међувремену, 500.000 долара је за мрежни напад који не захтева интеракцију корисника. Рањивости које се пронађу пре објављивања неког софтвера могу зарадити бонус од 50%.
Пријава са Аппле -ом била је функција уведена у иОС 13. То је систем за пријављивање усредсређен на приватност-и сада, надам се, без грешака-систем за пријаву који Аппле захтева подржавају све апликације које користе услуге за пријављивање трећих страна, попут Фацебоока.
