Эксперт получил от Apple за обнаруженную уязвимость 100 000 USD
В апреле IT-специалисту Б. Джайну из Дели удалось обнаружить в системе авторизации Apple уязвимость. С ее помощью хакеры могли получить доступ к пользовательским аккаунтам. Об этом пишет Forbes.
Речь идет о функции «Вход с Apple», запущенной разработчиками корпорации в минувшем году. Во время первого входа в систему веб-ресурсы и программы запрашивают у пользователя адрес электронной почты и имя. В ходе аутентификации юзера с помощью «Входа с Apple» на сервере генерируется JWT-ключ, в котором содержатся конфиденциальные данные. Эти данные используются сайтами и сторонними приложениями для идентификации пользователей. Джайн установил, что при генерации JWT-ключа система не проверяла, запрашивается ли он тем же самым пользователем.
Благодаря этой уязвимости любой хакер мог без труда подделать JWT-ключ, используя идентификатор электронной почты. О найденной уязвимости индийский программист сообщил Apple. Корпорация выплатила ему 100 000 USD. Проведенное Apple расследование показало, что уязвимость в системе действительно была, однако воспользоваться ей ни один хакер не успел.
В начале года разработчики Google нашли уязвимость в системе защиты веб-обозревателя Safari, которая позволяла третьими лицам отслеживать пользовательскую активность. Они поставили об этом в известность коллег из Apple, которые оперативно устранили эту уязвимость.