Уязвимость в функции «Вход с Apple» могла использоваться для взлома любых аккаунтов
1 июня 2020
За обнаружение опасной уязвимости в функции «Вход с Apple» индийский исследователь Бхавук Джайн (Bhavuk Jain), работающий в сфере информационной безопасности, получил вознаграждение в размере $100 000. Данная функция используется владельцами устройств Apple для безопасной авторизации в сторонних приложениях и сервисах с помощью персонального идентификатора.
Речь идёт об уязвимости, использование которой могло позволить злоумышленникам взять под контроль учётные записи жертв в приложениях и сервисах, для авторизации в которых использовался инструмент «Вход с Apple». Напомним, функция «Вход с Apple» представляет собой механизм аутентификации с сохранением конфиденциальности, который позволяет регистрироваться в сторонних приложениях и сервисах, не раскрывая адреса электронной почты.
В процессе аутентификации с помощью функции «Вход с Apple» происходит генерация JSON Web Token, который содержит в себе конфиденциальную информацию, используемую сторонним приложением для подтверждения личности вошедшего в систему пользователя. Эксплуатация упомянутой уязвимости позволяла злоумышленнику подделать токен JWT, связанный с идентификатором любого пользователя. В результате злоумышленник мог получить возможность авторизоваться через функцию «Вход с Apple» от имени жертвы в сторонних сервисах и приложениях, поддерживающих данный инструмент.
Исследователь сообщил в Apple об обнаруженной уязвимости в прошлом месяце и к настоящему моменту она уже была устранена. Кроме того, специалисты Apple провели расследование, в ходе которого не было обнаружено ни одного случая, когда данная уязвимость использовалась злоумышленниками на практике.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Читайте также:
Розроблену ШІ вакцину вперше випробували на людях 7 июня 2026
Розроблена за участі штучного інтелекту нова вакцина успішно проявила себе в початкових клінічних випробуваннях. Це перший випадок, коли вакцину з активним компонентом, повністю розробленим за допомогою комп'ютерного моделювання, випробували на людях.
Китайський виробник самокатів представив двомісний екраноліт для розваг на воді 7 июня 2026
Китайська компанія Navee представила WaveFly 5 — двомісний екраноліт для водних прогулянок і розваг. Під час демонстрації на озері Дунтайху в Сучжоу апарат рухався як по поверхні води, так і над нею, використовуючи ефект екрана. За словами розробників, максимальна швидкість новинки досягає 85 км/год, а для управління нею в більшості країн не потрібна ліцензія пілота.
США прискорять розробку та впровадження штучного інтелекту в цілях національної безпеки 7 июня 2026
США мають намір прискорити розробку та впровадження технологій штучного інтелекту в інтересах національної безпеки, заявили напередодні в Білому домі. Ці технології, однак, не повинні використовуватися для здійснення незаконного спостереження, підкреслили в адміністрації президента країни.
0.3
4.5