اپل پرداخت می شود توسعه دهنده Bhavuk جین 100.000 دلار جایزه برای پیدا کردن یک جدی اشکال در آن "ورود به سیستم با اپل" ورود به سیستم است که می تواند اجازه داده اند بازیگران مخرب را بیش از یک حساب کاربری در وب سایت های خاص و برنامه های.
با توجه به Jainاین اشکال مربوط به راه است که اپل بود اعتبار کاربران که با استفاده از ورود به سیستم با اپل. ورود سرویس های منتشر شده توسط این شرکت در سال گذشته و می توان با اپل شناسه طراحی شده است به منظور محدود کردن میزان ردیابی را فعال کنید توسط دیگر ورود خدمات مانند Facebook و Google. یکی از بزرگترین نقطه فروش از ورود به سیستم با اپل است که توانایی برای مخفی کردن آدرس ایمیل خود از برنامه های شخص ثالث و یا خدمات است.
به منظور اجازه یک کاربر ورود به سیستم با اپل با استفاده از یک JWT (JSON Web Token) یا یک کد تولید شده توسط سرور اپل. در حالی که اجازه اپل به کاربران گزینه ای برای به اشتراک گذاری و یا مخفی کردن ID اپل خود را با برنامه های شخص ثالث. اگر کاربران را انتخاب کنید برای به اشتراک گذاشتن ایمیل خود را با یک برنامه خاص اپل تولید یک کاربر خاص اپل ID ایمیل برای این سرویس.
پس از موفق, مجوز بسته چه کاربر بخواهد اپل تولید JWT که شامل ایمیل شناسه. این شناسه است و پس از آن استفاده شده توسط برنامه های شخص ثالث برای ورود یک کاربر در.
این است که در آن اشکال می آید. جین گفت که در ماه آوریل او متوجه شد که او می تواند درخواست JWTs برای هر اپل آیدی ایمیل.
"هنگامی که امضای این نشانه تایید شد با استفاده از اپل کلید عمومی آنها نشان داد که معتبر است. به این معنی که یک مهاجم می تواند ایجاد یک JWT با ارتباط هر eایمیل ID به آن و به دست آوردن دسترسی به قربانی حساب" توسعه توضیح داد که در یک وبلاگ.
هر the Hacker News, Jain یافت که این دلیل بود که اگر چه اپل خواسته کاربران برای ورود به حساب اپل خود را قبل از شروع مجوز درخواست نبود اعتبار اگر همان فرد درخواست JWT در گام بعدی از آن احراز هویت سرور.
آسیب پذیری تحت تاثیر برنامه های شخص ثالث است که با استفاده از آن و نمی اجرای خود اقدامات امنیتی اضافی.
هکر گزارش های خبری که بازیگران مخرب می تواند بهره برداری از این آسیب پذیری حتی اگر کاربران تصمیم به پنهان کردن خود اپل ID ایمیل از خدمات شخص ثالث و که آن را نیز می تواند مورد استفاده قرار گیرد به ثبت نام یک حساب جدید با قربانی ID اپل.
"تاثیر این آسیب پذیری بسیار بحرانی به عنوان آن می تواند اجازه داده اند حساب کامل تصاحب. بسیاری از توسعه دهندگان را یکپارچه ورود به سیستم با اپل پس از آن اجباری است برای برنامه های کاربردی که حمایت اجتماعی دیگر باری" جین گفت:, و اضافه کرد که برخی از نمونه ها عبارتند از Dropbox, Spotify, Airbnb و Giphy. "این برنامه بودند مورد آزمایش قرار نمی, اما می توانست آسیب پذیر به حساب تصاحب اگر وجود ندارد هر گونه اقدامات امنیتی در محل در حالی که تایید کاربر."
با اینحال جین گفت که اپل تا به حال انجام تحقیقات و مشخص است که وجود داشته است هیچ سوء استفاده و یا حساب سازش با توجه به آسیب پذیری. Whew. در هر های مختلف رسانه هایاپل وصله آسیب پذیری.
آن را به خوبی ببینید که حتی اگر آن را احساس می کند مانند این است که ظروف سرباز یا مسافر داغ در حال حاضر هنوز هم وجود دارد برخی از کارهای خوب در جریان است.
tinyurlis.gdv.gdv.htclck.ruulvis.netshrtco.de
مقالات مشابه
- بهترین ترفندها برای تمیز کردن کفش با جنس های متفاوت
- استرالیا مقامات می خواهید یک هوش مصنوعی برای حل و فصل خود را طلاق
- جویی در هزینه $300 در Roomba i7+ خلاء ربات در بهترین خرید
- A Third of the World's Population Could Be Blanketed in Sahara-Like Heat by 2070
- CDC: آمریکایی ها Misting بدن خود را با مواد ضد عفونی کننده اسپری و غرغره سفید کننده برای جلوگیری از Coronavirus
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- Netflix is making a film based on Ubisoft's 'Beyond Good & Evil'
- هواوی به فروش می رسد بیشتر از گوشی های سامسونگ و اپل برای اولین بار
- آیا قانون اوشن سیتی برهنه می تواند به دادگاه عالی برود؟ آخرین نبرد دادگاه
- SpaceX را کشتی فضایی نمونه اولیه انفجار در چهارمین شکست خورده تست