В системе авторизации Apple нашли опасную уязвимость

В системе авторизации Apple нашли опасную уязвимость
В 2019 году компания Apple представила собственную систему авторизации Sign in with Apple в качестве альтернативы длинным паролям и данным аккаунтов социальных сетей. Но в ходе недавнего изучения нового алгоритма специалисты по кибербезопасности нашли в этом методе критическую уязвимость, и сообщили о возможности кражи учетных записей владельцев iOS-гаджетов. Исследователь Бхавук Джайн в процессе изучения алгоритма авторизации «Вход с Apple» обнаружил, что используя уязвимости в системе, злоумышленники могли получить несанкционированный доступ к приложениям и конфиденциальной пользовательской информации. Об этом сообщает Информатор Tech, ссылаясь на исследование Бхавук Джайн. По его словам, такая уязвимость могла привести к перехвату учетных записей Apple ID на устройствах под управлением iOS. Сама функция работает аналогично OAuth 2.0. Существует два возможных способа аутентификации: с помощью JWT (JSON Web Token) или кода, сгенерированного сервером Apple, который затем используется для генерации JWT. Эксперт заметил, что может запросить JWT для любого идентификатора электронной почты, и когда подпись этих токенов проверили с использованием открытого ключа Apple, они оказались действительными. Это означает, что злоумышленник может подделать JWT, связав с ним любой идентификатор электронной почты и получив доступ к учетной записи жертвы. В системе авторизации Apple нашли опасную уязвимость В системе авторизации Apple нашли опасную уязвимость «Обнаруженная уязвимость особенно критична, поскольку ее использование хакерами могло привести к тому, что пользователь мог полностью утратить контроль над личной учетной записью. Учитывая, что Apple сделала подобную авторизацию обязательной для приложений из App Store, потенциальная аудитория уязвимых пользователей внушительна», — заявил специалист. Саму уязвимость обнаружили в апреле 2020 года. По заявлению представителей Apple, разработчики компании оперативно пересмотрели алгоритмы авторизации и уже успели ее устранить. Кроме того, они заверили, что за время работы функции Sign in with Apple не произошло ни одной утечки или попытки взлома пользовательских аккаунтов Apple ID. Ранее мы сообщали, что Microsoft заблокировала установку обновления Windows 10 May 2020 Update. Также писали о том, что некоторые смартфоны Google Pixel получили первую бета-версию Android 11.

Главная Актуально Informator.ua Україна на часі Youtube