техно

Нелепая ошибка могла привести к взлому любого аккаунта Apple

1 июня 2020
17:12
622
Поделиться:

Исследователь Бхавук Джейн обнаружил неожиданную брешь в безопасности на устройствах Apple, компании, которая на безопасности помешана. Ошибка всплывала при аутентификации пользователя в приложениях с помощью функции «Вход через Apple», сообщает Financial Express. Пока хакеры создают вредоносные программы, которые приводят к излишней «самостоятельности» айфонов, но не посягают на неприкосновенность личных данных, «глюк» в коде для привычной регистрации в приложениях мог спровоцировать настоящий взлом аккаунтов.

Код, который обеспечивает вход в сторонние приложения с помощью Apple, называется JWT (JSON Web Token). JWT генерируется сервером Apple. После генерации кода пользователям предлагается поделиться электронной почтой, привязанной к их Apple ID. Если светить контактами не хочется, JWT создает адрес электронной почты частного ретранслятора и регистрируется в приложении через нее.

Читайте также: Apple представила iOS 14

Джейн обнаружил, что злоумышленники могут получить доступ к учетной записи Apple независимо от того, поделился ли пользователь своей электронной почтой или зарегистрировался через ретранслятор. Доступ к аккаунту по запросу подтверждался с помощью электронной подписи токена, которую из-за ошибки можно было проверить с помощью открытого ключа Apple.

В Apple не подтвердили ни одного случая взлома аккаунтов через обнаруженную лазейку. Джейн подоспел вовремя. За сообщение об ошибке компания Джейна получила 100 000 долларов в рамках программы Apple Security Bounty Program.


Теги: Apple

Если вы заметили орфографическую ошибку в тексте, выделите ее мышью и нажмите Ctrl+Enter

Хотите первыми узнавать о главных событиях в Украине - подписывайтесь на наш Telegram-канал


Подтверждено:  
52 043 
+819
Болеет:  
25 898 
-215
Выздоровело:  
24 800 
+1 016
Умерло:  
1 345 
+18

Сегодня
больше новостей
delta = Array ( [1] => 0.0010800361633301 [2] => 0.17574286460876 )