Вход на сайты с использованием учетной записи Apple оказался небезопасным

Недочет в системе защиты данных был обнаружен почти два месяца назад. Именно тогда индийский IT-специалист Бхавук Джайн выявил, что вход на сайты с использованием учетной записи Apple является небезопасным.

Об этом программист сразу же сообщил в отдел разработки ОС «яблочной продукции», за что получил вознаграждение в размере 100 000 долларов. Как заявили в пресс-службе Apple, недоработку удалось исправить в кратчайшие сроки, поэтому сейчас использование учетных записей для регистрации и входа на сайты не несет никаких рисков.

Ранее же принцип функции «Вход с Apple» основывался на генерации JSON Web Token, содержащей в себе ряд конфиденциальных данных, которые стороннее приложение использовало в качестве подтверждения личности пользователя. На одном из этапов механизма подобной аутентификации и была обнаружена уязвимость, позволяющая киберзлоумышленникам взламывать аккаунты. Она заключалась в достаточно простой схеме подделывания токенов JWT, связанных с идентификатором юзеров.

В итоге плохо продуманная разработчиками система защиты данных давала хакерам потенциальную возможность авторизоваться через «Вход с Apple» под именем реально существующего пользователя. Далее же злоумышленник вполне мог создавать аналогичные аккаунты на других сайтах и порталах.
Автор: Криворотько Наталья
31-05-2020, 19:14


Читайте также
Добавить комментарий


Введите комментарий:



Бер Илья Леонидович, Кен Даниил Олегович, Кац Максим Евгеньевич, Чешское информационное агентство «MEDIUM, Региональная общественная организация помощи женщинам и детям, находящимся в кризисной ситуации «Информационно, признаны в РФ иностранными агентами.
ПОСЛЕДНИЕ НОВОСТИ
Просмотреть все новости