Хакер обнаружил уязвимость при использовании Apple ID и получил $100 000

01.06.2020, 15:25

0

0

Ключ, который генерировался для аутентификации юзера, было может быть подделать

В новейшей системе авторизации «Вход с Apple» (Sign In With Apple) была найдена уязвимость, которая позволяла злодеям получить доступ к аккаунтам хозяев устройств Apple. О этом докладывает Forbes.

Уязвимость нашел в апреле спец по кибербезопасности из Разделяй Бхавук Джайн. Он получил от Apple вознаграждение в $1000. В компании говорят, что провели внутреннее расследование и не зафиксировали случаев взлома. Уязвимость уже убрали.

Присоединяйтесь к Instagram Liga.net — тут лишь то, о чем вы не сможете не знать

Функция «Вход с Apple» была запущена в прошедшем году. В процессе аутентификации юзера через Apple ID генерирует ключ JSON Web Token (JWT). Он содержит секретную информацию, которую постороннее приложение употребляет для доказательства личности юзера. Джайн нашел, что злодей мог подделать JWT, связав с ним хоть какой идентификатор электрической почты и получив доступ к учетной записи жертвы.

  • В апреле Apple выплатила «белоснежному» хакеру $75 тыщ в рамках программки Bug Bounty. Он нашел в браузере Safari уязвимости, которые могли открыть злодеям доступ к камере и микрофону на устройствах Apple.
  • Меж тем, не прошло и недельки опосля выхода новейшей ОС Apple iOS 13.5, как хакерская группа Unc0ver выпустила джейлбрейк.

Источник