Apple bola spustená v roku 2019 systematická autentifikácia v službách pomocou vašej vlastnej metódy. Pravdepodobne funkčnosť prihlásiť sa s Apple bude slúžiť používateľom v najrôznejších online službách, aby mohli prísť s bezpečným mechanizmom, ktorý predpisuje súkromie. Táto funkcia však zistila chybu, ktorú programátor venoval kapitole venovanej bezpečnosti.
kde podrobnosti o odhalenej zraniteľnosti, ktoré boli medzitým opravené a zamerané na overenie účtu pomocou možnosti „Prihlásiť sa pomocou Apple”. Toto zlyhanie zero-day mohol umožniť útočníkovi prevziať kontrolu nad účtom používateľa.
Čo je prihlasovacie meno Apple?
Prítomnosť tlačidla prihlásiť sa s Apple znamená, že si môžete založiť účet a prihlásiť sa pomocou svojho ID Apple, Namiesto použitia účtu v sociálnej sieti alebo vypĺňania formulárov a výberu nového hesla, môžete jednoducho stlačiť tlačidlo Prihlásiť sa pomocou Apple, zobrazte informácie a rýchlo a bezpečne sa prihláste pomocou Face ID, Touch ID alebo kódu zariadenia.
Táto funkcia je preto zamýšľaná ako alternatíva k „prihláseniu“ na webové stránky a služby, ktoré používajú odkazy na Facebook a Google.
Ale je to bezpečnejšie?
Spoločnosť uvažovala o spôsobe, ako zlepšiť služby pridaním vrstvy ochrany osobných údajov nad úroveň, ktorá je dnes k dispozícii pre tento typ služby. Tento nový nástroj sa preto snaží minimalizovať množstvo údajov, ktoré používateľ používa na autentifikáciu a vytvorenie účtu. API tiež pomohlo znížiť množstvo monitorovania, ktoré Facebook a Google bežal na používateľov a robil ich súkromnejšími.
Napriek tomu systémy boli vážne zraniteľné, Podľa toho, čo bolo vydané včera, programátor zameraný na bezpečnosť, Bhavuk Jain, objavil zraniteľnosť zero-day keď sa prihlasujete pomocou Apple, Ako je uvedené, táto bezpečnostná diera umožňuje útočníkovi získať prístup a úplnú kontrolu nad používateľským kontom v aplikácii tretej strany.
Podľa Jain by táto chyba umožnila zmenu riadenia používateľského účtu aplikácie bez ohľadu na to, či má užívateľ ID Apple platné alebo nie.
Ako sa prihlásiť s funkčnosťou spoločnosti Cupertino, záleží na jednej Webový token JSON (JWT) alebo kód vygenerovaný servermi na serveri Apple, Neskôr sa použije na generovanie JWT, ak neexistuje. Preto pri schvaľovaní Apple dáva používateľom možnosť zdieľať alebo skryť svoj e-mail, používate na identifikáciu Apple s aplikáciou tretej strany. V takom prípade systémy okamžite vytvoria e-mail, ktorý je pre nich špecifický Apple, vytvorené pre posledný výber.
Po úspešnom schválení Apple vytvára JWT, ktoré obsahuje e-mailové ID a používa ho aplikácia tretej strany na prihlásenie používateľa.
Chyba doručená do Apple Bola opravená
V apríli Jain zistil, že je možné požiadať o JWT pre všetky e-maily a po overení podpisu tokenu pomocou verejného kľúča od Apple, považujú sa za platné. Útočník môže v tomto procese vytvoriť JWT a získať prístup k účtu obete.
Pretože spoločnosť Cupertino vyžaduje možnosť „Prihlásiť sa pomocou Apple„V aplikáciách s inými prihlasovacími systémami založenými na sociálnych sieťach mal útok veľmi širokú základňu aplikácií, proti ktorým bol teoreticky efektívny. Vyšetrovanie bezpečnostným tímom Apple zistil, že zraniteľnosť sa pri žiadnych útokoch nepoužila.
Jain zodpovedným spôsobom odhalil zlyhanie technologického gigantu. V tomto ohľade spoločnosť Cupertino začlenila mladého človeka do svojho programu odmien za chyby a získal odmenu v hodnote 100 000 dolárov. Spoločnosť Cupertino odvtedy túto chybu zabezpečenia opravila, ale nie je jasné, ako presne.