اپل می پردازد توسعه دهنده 100.000 دلار برای پیدا کردن اشکال جدی در ورود به سیستم با اپل سیستم
اپل پرداخت می شود توسعه دهنده Bhavuk جین 100.000 دلار جایزه برای پیدا کردن یک جدی اشکال در آن "ورود به سیستم با اپل" ورود به سیستم است که می تواند اجازه داده اند بازیگران مخرب را بیش از یک حساب کاربری در وب سایت های خاص و برنامه های.
با توجه به Jainاین اشکال مربوط به راه است که اپل بود اعتبار کاربران که با استفاده از ورود به سیستم با اپل. ورود سرویس های منتشر شده توسط این شرکت در سال گذشته و می توان با اپل شناسه طراحی شده است به منظور محدود کردن میزان ردیابی را فعال کنید توسط دیگر ورود خدمات مانند Facebook و Google. یکی از بزرگترین نقطه فروش از ورود به سیستم با اپل است که توانایی برای مخفی کردن آدرس ایمیل خود از برنامه های شخص ثالث و یا خدمات است.
به منظور اجازه یک کاربر ورود به سیستم با اپل با استفاده از یک JWT (JSON Web Token) یا یک کد تولید شده توسط سرور اپل. در حالی که اجازه اپل به کاربران گزینه ای برای به اشتراک گذاری و یا مخفی کردن ID اپل خود را با برنامه های شخص ثالث. اگر کاربران را انتخاب کنید برای به اشتراک گذاشتن ایمیل خود را با یک برنامه خاص اپل تولید یک کاربر خاص اپل ID ایمیل برای این سرویس.
پس از موفق, مجوز بسته چه کاربر بخواهد اپل تولید JWT که شامل ایمیل شناسه. این شناسه است و پس از آن استفاده شده توسط برنامه های شخص ثالث برای ورود یک کاربر در.
این است که در آن اشکال می آید. جین گفت که در ماه آوریل او متوجه شد که او می تواند درخواست JWTs برای هر اپل آیدی ایمیل.
"هنگامی که امضای این نشانه تایید شد با استفاده از اپل کلید عمومی آنها نشان داد که معتبر است. به این معنی که یک مهاجم می تواند ایجاد یک JWT با ارتباط هر eایمیل ID به آن و به دست آوردن دسترسی به قربانی حساب" توسعه توضیح داد که در یک وبلاگ.
هر the Hacker News, Jain یافت که این دلیل بود که اگر چه اپل خواسته کاربران برای ورود به حساب اپل خود را قبل از شروع مجوز درخواست نبود اعتبار اگر همان فرد درخواست JWT در گام بعدی از آن احراز هویت سرور.
آسیب پذیری تحت تاثیر برنامه های شخص ثالث است که با استفاده از آن و نمی اجرای خود اقدامات امنیتی اضافی.
هکر گزارش های خبری که بازیگران مخرب می تواند بهره برداری از این آسیب پذیری حتی اگر کاربران تصمیم به پنهان کردن خود اپل ID ایمیل از خدمات شخص ثالث و که آن را نیز می تواند مورد استفاده قرار گیرد به ثبت نام یک حساب جدید با قربانی ID اپل.
"تاثیر این آسیب پذیری بسیار بحرانی به عنوان آن می تواند اجازه داده اند حساب کامل تصاحب. بسیاری از توسعه دهندگان را یکپارچه ورود به سیستم با اپل پس از آن اجباری است برای برنامه های کاربردی که حمایت اجتماعی دیگر باری" جین گفت:, و اضافه کرد که برخی از نمونه ها عبارتند از Dropbox, Spotify, Airbnb و Giphy. "این برنامه بودند مورد آزمایش قرار نمی, اما می توانست آسیب پذیر به حساب تصاحب اگر وجود ندارد هر گونه اقدامات امنیتی در محل در حالی که تایید کاربر."
با اینحال جین گفت که اپل تا به حال انجام تحقیقات و مشخص است که وجود داشته است هیچ سوء استفاده و یا حساب سازش با توجه به آسیب پذیری. Whew. در هر های مختلف رسانه هایاپل وصله آسیب پذیری.
آن را به خوبی ببینید که حتی اگر آن را احساس می کند مانند این است که ظروف سرباز یا مسافر داغ در حال حاضر هنوز هم وجود دارد برخی از کارهای خوب در جریان است.
tinyurlis.gdv.gdv.htclck.ruulvis.netshrtco.de