Apple выплатила эксперту 100 тысяч долларов за обнаруженную уязвимость

Специалист по кибербезопасности из Дели Бхавук Джайн нашел уязвимость в системе авторизации "Вход в Apple" в апреле 2020 года и сообщил компании. Теперь, после того, как Apple устранила проблему, специалист раскрыл детали уязвимости, передает BaigeNews.kz со ссылкой на Forbes.

Уязвимость позволяла злоумышленникам получать доступ к аккаунтам пользователей при посещении сторонних сайтов при помощи учетной записи в Apple Forbes.

Функция "Вход через Apple" была запущена в прошлом году. Как сообщает компания, она предназначена для сохранения конфиденциальности и контроля личных данных. При первом входе в систему программы и веб-сайты могут запросить для настройки учетной записи только имя и адрес электронной почты пользователя.

При аутентификации пользователя через "Вход в Apple" сервер генерирует ключ JSON Web Token (JWT), который содержит конфиденциальную информацию. Стороннее приложение его использует для подтверждения личности пользователя, однако, как установил Джайна, Apple не проверяла, идет ли запрос JWT от того же пользователя.

"Это означает, что злоумышленник может подделать JWT, связав с ним любой идентификатор электронной почты и получив доступ к учетной записи жертвы", — заявил специалист на своем сайте.

После того, как Джайн обнаружил уязвимость в апреле, он сообщил в Apple. Компания выплатила ему вознаграждение в 100 тысяч долларов, отметив, что до устранения уязвимости не было ни одного случая взлома учетной записи.