Специалист по кибербезопасности из Дели Бхавук Джайн нашел уязвимость в системе авторизации "Вход в Apple". С помощью этой уязвимости злоумышленники могли получить доступ к аккаунтам пользователей во время посещения сторонних сайтов. Об этом сообщил Forbes.
Функция "Вход через Apple" была запущена в прошлом году. Эта функция была предназначена для сохранения конфиденциальности и контроля личных данных. Программы и веб-сайты при первом входе в систему могут запрашивать только имя и адрес электронной почты.
При аутентификации пользователя через "Вход в Apple" сервер генерирует ключ JSON Web Token (JWT), который содержит конфиденциальную информацию. Приложение использует этот ключ для подтверждения личности пользователя. Но, как установил специалист по кибербезопасности, Apple не проверяла, идет ли запрос JWT от того же пользователя.
Компания Apple выплатила специалисту вознаграждение в 100 тысяч долларов. При этом до обнаружения уязвимости ни одна учетная запись не была взломана.
Apple начала продавать восстановленные iPhone XR.
Фото: Piter.TV
Специалист из Apple или сторонний?