В системі авторизації Apple знайшли небезпечну уразливість

Минулого року Apple представила новий сервіс під назвою «Увійти через Apple». Це сервіс входу в систему, в якому користувачі використовують свій Apple ID для реєстрації та входу в онлайн-сервіси. В ході нещодавнього вивчення цього алгоритму фахівці з кібербезпеки знайшли в ньому критичну уразливість.

Уразливості під час входу на сайти з використанням облікового запису Apple виявив 27-річний фахівець з мережевої та мобільної безпеки Бхавук Джайн (Bhavuk Jain). Зловмисники могли отримати несанкціонований доступ до сторонніх служб, пов’язаних з сервісом компанії. За словами фахівця, якщо сторонній додаток ніяк не був захищений, зловмисник міг підробити токен, пов’язаний з ідентифікатором будь-якої електронної пошти, і видати його за дійсний, використовуючи відкритий ключ Apple.

Звертаючись до The Hacker News, Бхавук сказав: «Вплив цієї уразливості був досить критичним, оскільки вона могла дозволити повне поглинання аккаунта. Багато розробників інтегрували цю систему, оскільки Apple зробила це обов’язковою умовою для додатків, що підтримують інші соціальні облікові записи. Серед них — Dropbox, Spotify, Airbnb, Giphy».

У прес-службі Apple заявили, що недопрацювання вже виправлено, тому використання облікових записів для реєстрації та входу на сайти не несе ніяких ризиків. За свою знахідку Джайн отримав винагороду в розмірі $100 000.