Mobiln├ę Spr├ívy, Gadgety, Blogy's Secenziami

Program├ítor zist├ş chybu prihl├ísenia pomocou Apple a vyhrajte 100 000 dol├írov

Apple bola spusten├í v roku 2019 systematick├í autentifik├ícia v slu┼żb├ích pomocou va┼íej vlastnej met├│dy. Pravdepodobne funk─Źnos┼ą prihl├ísi┼ą sa s Apple bude sl├║┼żi┼ą pou┼ż├şvate─żom v najr├┤znej┼í├şch online slu┼żb├ích, aby mohli pr├şs┼ą s bezpe─Źn├Żm mechanizmom, ktor├Ż predpisuje s├║kromie. T├íto funkcia v┼íak zistila chybu, ktor├║ program├ítor venoval kapitole venovanej bezpe─Źnosti.

kde podrobnosti o odhalenej zranite─żnosti, ktor├ę boli medzit├Żm opraven├ę a zameran├ę na overenie ├║─Źtu pomocou mo┼żnosti ÔÇ×Prihl├ísi┼ą sa pomocou Apple”. Toto zlyhanie zero-day mohol umo┼żni┼ą ├║to─Źn├şkovi prevzia┼ą kontrolu nad ├║─Źtom pou┼ż├şvate─ża.

Prihlasovanie obr├ízkov pomocou Apple na zariaden├ş iPhone 11 Pro

─îo je prihlasovacie meno Apple?

Pr├ştomnos┼ą tla─Źidla prihl├ísi┼ą sa s Apple znamen├í, ┼że si m├┤┼żete zalo┼żi┼ą ├║─Źet a prihl├ísi┼ą sa pomocou svojho ID Apple, Namiesto pou┼żitia ├║─Źtu v soci├ílnej sieti alebo vyp─║┼łania formul├írov a v├Żberu nov├ęho hesla, m├┤┼żete jednoducho stla─Źi┼ą tla─Źidlo Prihl├ísi┼ą sa pomocou Apple, zobrazte inform├ície a r├Żchlo a bezpe─Źne sa prihl├íste pomocou Face ID, Touch ID alebo k├│du zariadenia.

T├íto funkcia je preto zam├Ż┼í─żan├í ako alternat├şva k ÔÇ×prihl├íseniuÔÇť na webov├ę str├ínky a slu┼żby, ktor├ę pou┼ż├şvaj├║ odkazy na Facebook a Google.

Program├ítor zist├ş chybu prihl├ísenia pomocou Apple a vyhrajte 100 000 dol├írov 1

Ale je to bezpe─Źnej┼íie?

Spolo─Źnos┼ą uva┼żovala o sp├┤sobe, ako zlep┼íi┼ą slu┼żby pridan├şm vrstvy ochrany osobn├Żch ├║dajov nad ├║rove┼ł, ktor├í je dnes k dispoz├şcii pre tento typ slu┼żby. Tento nov├Ż n├ístroj sa preto sna┼ż├ş minimalizova┼ą mno┼żstvo ├║dajov, ktor├ę pou┼ż├şvate─ż pou┼ż├şva na autentifik├íciu a vytvorenie ├║─Źtu. API tie┼ż pomohlo zn├ş┼żi┼ą mno┼żstvo monitorovania, ktor├ę Facebook a Google be┼żal na pou┼ż├şvate─żov a robil ich s├║kromnej┼í├şmi.

Napriek tomu syst├ęmy boli v├í┼żne zranite─żn├ę, Pod─ża toho, ─Źo bolo vydan├ę v─Źera, program├ítor zameran├Ż na bezpe─Źnos┼ą, Bhavuk Jain, objavil zranite─żnos┼ą zero-day ke─Ć sa prihlasujete pomocou Apple, Ako je uveden├ę, t├íto bezpe─Źnostn├í diera umo┼ż┼łuje ├║to─Źn├şkovi z├şska┼ą pr├şstup a ├║pln├║ kontrolu nad pou┼ż├şvate─żsk├Żm kontom v aplik├ícii tretej strany.

Pod─ża Jain by t├íto chyba umo┼żnila zmenu riadenia pou┼ż├şvate─żsk├ęho ├║─Źtu aplik├ície bez oh─żadu na to, ─Źi m├í u┼ż├şvate─ż ID Apple platn├ę alebo nie.

Ako sa prihl├ísi┼ą s funk─Źnos┼ąou spolo─Źnosti Cupertino, z├íle┼ż├ş na jednej Webov├Ż token JSON (JWT) alebo k├│d vygenerovan├Ż servermi na serveri Apple, Nesk├┤r sa pou┼żije na generovanie JWT, ak neexistuje. Preto pri schva─żovan├ş Apple d├íva pou┼ż├şvate─żom mo┼żnos┼ą zdie─ża┼ą alebo skry┼ą svoj e-mail, pou┼ż├şvate na identifik├íciu Apple s aplik├íciou tretej strany. V takom pr├şpade syst├ęmy okam┼żite vytvoria e-mail, ktor├Ż je pre nich ┼ípecifick├Ż Apple, vytvoren├ę pre posledn├Ż v├Żber.

Po ├║spe┼ínom schv├ílen├ş Apple vytv├íra JWT, ktor├ę obsahuje e-mailov├ę ID a pou┼ż├şva ho aplik├ícia tretej strany na prihl├ísenie pou┼ż├şvate─ża.

Program├ítor zist├ş chybu prihl├ísenia pomocou Apple a vyhrajte 100 000 dol├írov 2

Chyba doru─Źen├í do Apple Bola opraven├í

V apr├şli Jain zistil, ┼że je mo┼żn├ę po┼żiada┼ą o JWT pre v┼íetky e-maily a po overen├ş podpisu tokenu pomocou verejn├ęho k─ż├║─Źa od Apple, pova┼żuj├║ sa za platn├ę. ├Üto─Źn├şk m├┤┼że v tomto procese vytvori┼ą JWT a z├şska┼ą pr├şstup k ├║─Źtu obete.

Preto┼że spolo─Źnos┼ą Cupertino vy┼żaduje mo┼żnos┼ą ÔÇ×Prihl├ísi┼ą sa pomocou AppleÔÇ×V aplik├íci├ích s in├Żmi prihlasovac├şmi syst├ęmami zalo┼żen├Żmi na soci├ílnych sie┼ąach mal ├║tok ve─żmi ┼íirok├║ z├íklad┼łu aplik├íci├ş, proti ktor├Żm bol teoreticky efekt├şvny. Vy┼íetrovanie bezpe─Źnostn├Żm t├şmom Apple zistil, ┼że zranite─żnos┼ą sa pri ┼żiadnych ├║tokoch nepou┼żila.

Jain zodpovedn├Żm sp├┤sobom odhalil zlyhanie technologick├ęho gigantu. V tomto oh─żade spolo─Źnos┼ą Cupertino za─Źlenila mlad├ęho ─Źloveka do svojho programu odmien za chyby a z├şskal odmenu v hodnote 100 000 dol├írov. Spolo─Źnos┼ą Cupertino odvtedy t├║to chybu zabezpe─Źenia opravila, ale nie je jasn├ę, ako presne.

Pre─Ź├ştajte si tie┼ż: