Sovellukset ja ohjelmistot

Apple Awards Hacker 100 000 dollaria "Kirjaudu sisään Applella" -haavoittuvuuden löytämisestä

Apple Awards Hacker 100 000 dollaria


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Applen hyödyllinen Kirjaudu sisään Applella -vaihtoehto, joka julkistettiin kesäkuussa 2019, sai melko vähän positiivista huomiota, ja hyvästä syystä: se korvaa sosiaaliset kirjautumistunnukset turvallisella todennusjärjestelmällä. Tämän lisäksi käyttäjä voi kirjautua kolmannen osapuolen sovelluksiin ja palveluihin tarvitsematta jakaa Apple ID -sähköpostiosoitettaan.

Intian New Delhissä sijaitseva turvallisuustutkija kuitenkin paljasti Sign in with Apple -järjestelmässä vakavan puutteen, jonka avulla hyökkääjä voisi mahdollisesti ottaa tilin haltuunsa pelkästään sähköpostitunnuksella.

Apple on palkinnut henkilöä melko huomattavasti.

KATSO MYÖS: HAKKURI, joka KOKEILEE BLACKMAIL APPLE -OHJELMAA UHKAAMALLA POISTAA 319 MILJOONAN RAJATILIN LASKUTETTU, MUTTA EI VANHAAIKAA

Applen turvallisuuspalkkio

On selvää, kuinka tärkeä tämä yllättävä löytö on Applelle, koska yritys on maksanut hakkereille $100,000 sen Apple Security Bounty Potista.

Hyvä asia on, että Apple on jo selvittänyt snafun palvelinpuolellaan, ja vasta tämän jälkeen Bhavuk Jain, mies, joka paljasti virheen Applelle, julkaisi järkyttävän tietoturva-aukon 30. toukokuuta.

Itse haavoittuvuus liittyi vain kolmansien osapuolten sovelluksiin, jotka käyttivät Kirjaudu sisään Applella -toimintoa ilman muita turvatoimenpiteitä. Se on huolestuttavaa kahdesta syystä.

Ensinnäkin se olisi voinut sallia näiden kolmansien osapuolien sovellusten käyttäjätilien täydellisen haltuunoton riippumatta siitä, onko käyttäjällä voimassa oleva Apple ID vai ei. Toiseksi ja ehkä järkyttävämmin se oli, että Apple ei huomannut tätä vikaa kehitysvaiheissaan.

Pohjimmiltaan, mitä Jain huomasi voivansa tehdä, oli pyytää todentamistunnuksia mille tahansa sähköpostitunnukselle Applelta, joka sitten vahvistettiin Applen julkisella avaimella. Hyökkääjä voi siis saada pääsyn uhrin tilille. Sähköpostitunnuksesi piilottaminen kolmannen osapuolen sovelluksesta ei olisi estänyt tätä tapahtumasta.

Kaiken kaikkiaan Jain selitti, että Apple suoritti sisäisen tutkimuksen, joka totesi, ettei tiliin liittyviä kompromisseja tai väärinkäyttöä ollut tapahtunut ennen virheen korjaamista.

Jotkut hakkerit, kuten Jain, todella auttavat tuomaan esiin tietyt tilanteet, aivan kuten tämä teki, kun he elvyttivät matalaresoluutioisia videotoistoja äänikasettinauhoille.


Katso video: Our Miss Brooks: English Test. First Aid Course. Tries to Forget. Wins a Mans Suit (Tammikuu 2023).