Необычная ошибка могла привести к взлому любого аккаунта Apple

Стандартная регистрация в мобильном приложении посредством входа в аккаунт Apple могла привести к краже учетных записей юзеров, однако специалист Бхавук Джейн вовремя обнаружил довольно странную ошибку. Брешь в системе безопасности возникала во время пользовательской аутентификации благодаря функции «Вход через Apple».

Как известно, киберзлоумышленники, как правило, создают программы, приводящие к большей самостоятельности iPhone, а вот ошибка в коде для обычной регистрации в приложениях могла привести к реальному взлому некоторых аккаунтов. Речь идёт о JWT (JSON Web Token), генерирующимся серверами американской корпорации. В результате пользователь может опубликовать адрес электронной почты, которая привязана к их Apple ID.

Если же юзер не хочет делиться такими данными, то JWT создает адрес электронной почты частного ретранслятора. Джейн уточнил: хакеры могли обзавестись доступом к учетной записи Apple в любом случае. Оказывается, доступ к аккаунтам открывался из-за электронных подписей токена, проверяющихся из-за ошибки посредством открытого ключа Apple. Благодаря своевременному выявлению бага компания специалиста получила 100 тысяч долларов награды.
Автор: Никита Згурский
1-06-2020, 12:30


Читайте также
Добавить комментарий


Введите комментарий:



Бер Илья Леонидович, Общество с ограниченной ответственностью «Вольные люди», Кен Даниил Олегович, Кац Максим Евгеньевич, признаны в РФ иностранными агентами.
ПОСЛЕДНИЕ НОВОСТИ
Просмотреть все новости