Вход на сайты с использованием учетной записи Apple оказался небезопасным
Недочет в системе защиты данных был обнаружен почти два месяца назад. Именно тогда индийский IT-специалист Бхавук Джайн выявил, что вход на сайты с использованием учетной записи Apple является небезопасным.
Об этом программист сразу же сообщил в отдел разработки ОС «яблочной продукции», за что получил вознаграждение в размере 100 000 долларов. Как заявили в пресс-службе Apple, недоработку удалось исправить в кратчайшие сроки, поэтому сейчас использование учетных записей для регистрации и входа на сайты не несет никаких рисков.
Ранее же принцип функции «Вход с Apple» основывался на генерации JSON Web Token, содержащей в себе ряд конфиденциальных данных, которые стороннее приложение использовало в качестве подтверждения личности пользователя. На одном из этапов механизма подобной аутентификации и была обнаружена уязвимость, позволяющая киберзлоумышленникам взламывать аккаунты. Она заключалась в достаточно простой схеме подделывания токенов JWT, связанных с идентификатором юзеров.
В итоге плохо продуманная разработчиками система защиты данных давала хакерам потенциальную возможность авторизоваться через «Вход с Apple» под именем реально существующего пользователя. Далее же злоумышленник вполне мог создавать аналогичные аккаунты на других сайтах и порталах.
Об этом программист сразу же сообщил в отдел разработки ОС «яблочной продукции», за что получил вознаграждение в размере 100 000 долларов. Как заявили в пресс-службе Apple, недоработку удалось исправить в кратчайшие сроки, поэтому сейчас использование учетных записей для регистрации и входа на сайты не несет никаких рисков.
Ранее же принцип функции «Вход с Apple» основывался на генерации JSON Web Token, содержащей в себе ряд конфиденциальных данных, которые стороннее приложение использовало в качестве подтверждения личности пользователя. На одном из этапов механизма подобной аутентификации и была обнаружена уязвимость, позволяющая киберзлоумышленникам взламывать аккаунты. Она заключалась в достаточно простой схеме подделывания токенов JWT, связанных с идентификатором юзеров.
В итоге плохо продуманная разработчиками система защиты данных давала хакерам потенциальную возможность авторизоваться через «Вход с Apple» под именем реально существующего пользователя. Далее же злоумышленник вполне мог создавать аналогичные аккаунты на других сайтах и порталах.