27-летний специалист по сетевой и мобильной безопасности Бхавук Джайн (Bhavuk Jain) обнаружил уязвимость при входе на сайты с использованием учётной записи Apple. За свою находку Джайн получил вознаграждение в размере $100 000.
По его словам, если стороннее приложение само никак не защищено, злоумышленник может подделать токен, связанный с идентификатором любой электронной почты, и выдать его за действительный, используя открытый ключ Apple. Это позволяет мошеннику получить полный доступ к аккаунту на любом сайте или в приложении.
«Что, если я скажу, что идентификатор вашей электронной почты — это всё, что мне нужно, чтобы захватить ваш аккаунт на любимом вами веб-сайте или приложении? Звучит страшно, да? Это мне позволяла сделать ошибка во „Вход с Apple“», — написал Бхавук Джайн.
Как заявили в пресс-службе Apple, недоработку удалось исправить в кратчайшие сроки, поэтому сейчас использование учетных записей для регистрации и входа на сайты не несет никаких рисков. Речь идёт об уязвимости, использование которой могло позволить злоумышленникам взять под контроль учётные записи жертв в приложениях и сервисах, для авторизации в которых использовался инструмент «Вход с Apple».
Читать первым в Telegram-канале «Код Дурова»
