Уязвимость в функции «Вход с Apple» могла использоваться для взлома любых аккаунтов
1 июня 2020
За обнаружение опасной уязвимости в функции «Вход с Apple» индийский исследователь Бхавук Джайн (Bhavuk Jain), работающий в сфере информационной безопасности, получил вознаграждение в размере $100 000. Данная функция используется владельцами устройств Apple для безопасной авторизации в сторонних приложениях и сервисах с помощью персонального идентификатора.
Речь идёт об уязвимости, использование которой могло позволить злоумышленникам взять под контроль учётные записи жертв в приложениях и сервисах, для авторизации в которых использовался инструмент «Вход с Apple». Напомним, функция «Вход с Apple» представляет собой механизм аутентификации с сохранением конфиденциальности, который позволяет регистрироваться в сторонних приложениях и сервисах, не раскрывая адреса электронной почты.
В процессе аутентификации с помощью функции «Вход с Apple» происходит генерация JSON Web Token, который содержит в себе конфиденциальную информацию, используемую сторонним приложением для подтверждения личности вошедшего в систему пользователя. Эксплуатация упомянутой уязвимости позволяла злоумышленнику подделать токен JWT, связанный с идентификатором любого пользователя. В результате злоумышленник мог получить возможность авторизоваться через функцию «Вход с Apple» от имени жертвы в сторонних сервисах и приложениях, поддерживающих данный инструмент.
Исследователь сообщил в Apple об обнаруженной уязвимости в прошлом месяце и к настоящему моменту она уже была устранена. Кроме того, специалисты Apple провели расследование, в ходе которого не было обнаружено ни одного случая, когда данная уязвимость использовалась злоумышленниками на практике.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Читайте также:
Google розповіла, як правильно розробляти додатки для Android за допомогою ШІ 18 апреля 2026
В останні роки механізми розробки додатків для Android різко змінилися — тепер значну частину завдань виконують OpenAI ChatGPT, Anthropic Claude, Google Gemini та інші помічники з штучним інтелектом. Хороша ідея для додатку тепер важливіша, ніж глибокі знання чи досвід у програмуванні. Google вирішила вказати, як робити це належним чином.
«Теплозахисний екран виглядав чудово»: астронавти Artemis II оглянули капсулу після повернення на Землю 18 апреля 2026
Теплозахисний екран капсули Orion, який екіпаж назвав Integrity («Цілісність»), був предметом численних дискусій напередодні повернення корабля на Землю. Джерелом сумнівів став теплозахисний екран безпілотного корабля Orion, який у 2022 році досяг Місяця і отримав більше пошкоджень, ніж очікувалося, під час зворотного шляху через атмосферу Землі. Схоже, цього разу Integrity успішно витримав випробування високими температурами.
Apple розпродала всі запаси MacBook Neo — нові замовлення надійдуть не раніше травня 18 апреля 2026
Попит на бюджетний ноутбук Apple MacBook Neo виявився вищим за початкові очікування. На даний момент вже розпродані всі запаси пристроїв на поточний місяць. Це означає, що при покупці MacBook Neo в даний час доведеться чекати його доставки до травня.
0.4
5.0