Уязвимость в функции «Вход с Apple» могла использоваться для взлома любых аккаунтов
1 июня 2020
За обнаружение опасной уязвимости в функции «Вход с Apple» индийский исследователь Бхавук Джайн (Bhavuk Jain), работающий в сфере информационной безопасности, получил вознаграждение в размере $100 000. Данная функция используется владельцами устройств Apple для безопасной авторизации в сторонних приложениях и сервисах с помощью персонального идентификатора.
Речь идёт об уязвимости, использование которой могло позволить злоумышленникам взять под контроль учётные записи жертв в приложениях и сервисах, для авторизации в которых использовался инструмент «Вход с Apple». Напомним, функция «Вход с Apple» представляет собой механизм аутентификации с сохранением конфиденциальности, который позволяет регистрироваться в сторонних приложениях и сервисах, не раскрывая адреса электронной почты.
В процессе аутентификации с помощью функции «Вход с Apple» происходит генерация JSON Web Token, который содержит в себе конфиденциальную информацию, используемую сторонним приложением для подтверждения личности вошедшего в систему пользователя. Эксплуатация упомянутой уязвимости позволяла злоумышленнику подделать токен JWT, связанный с идентификатором любого пользователя. В результате злоумышленник мог получить возможность авторизоваться через функцию «Вход с Apple» от имени жертвы в сторонних сервисах и приложениях, поддерживающих данный инструмент.
Исследователь сообщил в Apple об обнаруженной уязвимости в прошлом месяце и к настоящему моменту она уже была устранена. Кроме того, специалисты Apple провели расследование, в ходе которого не было обнаружено ни одного случая, когда данная уязвимость использовалась злоумышленниками на практике.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Читайте также:
Jerry Heil поскаржилася, що її підставили на Нацвідборі за лічені години до фіналу та заявила про проблеми з трансляцією свого номера 8 февраля 2026
Обіцяли, але не зробили: Jerry Heil поскаржилася, що її підставили на Нацвідборі за лічені години до фіналу Jerry Heil заявила про проблеми з трансляцією свого номера
Китайське програмне забезпечення для автомобілів буде заборонено в США через побоювання щодо шпигунства 8 февраля 2026
Протистояння Китаю та США проявило себе навіть на автомобільному ринку. Імпортні мита на китайські автомобілі в США встановлені настільки високими, що ввозити їх у країну не зовсім доцільно з точки зору масового споживача. Тепер американські власті хочуть заборонити й програмне забезпечення для експлуатованих у США автомобілів, якщо воно було розроблено в Китаї та підключається до закордонних хмарних сервісів.
США звинуватили Китай у таємних випробування ядерної зброї 8 февраля 2026
Пекін у 2020 році проводив реальне випробування ядерних боєприпасів потужністю в сотні тонн, заявили в Держдепі.
5.0
0.5