Apple заплатила эксперту 100 тысяч долларов за выявленную неполадку
Корпорация Apple выплатила ИТ-специалисту Бхавуку Джайне 100 тысяч долларов за найденную уязвимость в системе авторизации «Вход с Apple». Об этом сообщает Forbes.
Эксперт обнаружил, что вход на сторонние сайты с использованием учетной записи Apple небезопасен. Сама система предназначена для контроля личных данных и сохранения конфиденциальности. При первом входе в нее веб-сайты могут запрашивать только имя пользователя и адрес его электронной почты.
Известно, что при аутентификации пользователя через «Вход с Apple» сервер генерирует ключ JSON Web Token (JWT). Именно его сторонние приложения используют для подтверждения личности пользователя. Тем не менее, как выяснил Джайна, Apple не проверяла кто именно запрашивает JWT.
«Это значит, что злоумышленник может подделать JWT, связав с ним любой идентификатор электронной почты и получив доступ к учетной записи жертвы», — написал ИТ-специалист на своем сайте.
Об этой неполадке в системе Джайна узнал в апреле этого года. Тогда же он сообщил о ней в Apple и получил от компании денежное вознаграждение. Впоследствии в Apple провели внутреннее расследование и заверили, что ни одного случая взлома учетной записи до устранения неполадки выявлено не было.
Ранее стало известно, что из-за уязвимости в чипе Wi-Fi миллиарды гаджетов оказались под угрозой. ИТ-специалисты выявили неполадку, за счет которой хакеры могут взламывать гаджеты при их отключении от беспроводного соединения или при падении мощности сигнала. Это давало им возможность получить доступ к данным пользователей, в том числе к зашифрованным.
Подписывайтесь на нас:
