Ovog aprila indijski developer Bhavuk Jain je otkrio veliki bezbednosni propust u procesu provere autentičnosti korisnika koji su se na vanjske servise prijavljivali svojim korisničkim nalogom otvorenim kod Apple-a. Propust u procesu "Sign In With Apple" omogućavao je napadaču upad u račune korisnika sa svojom e-mail adresom, jer je Apple-ov sistem greškom mogao da protumači bilo koju adresu kao autentičnu. Jain je pronađenu ranjivost prijavio kompaniji, a ovi su je zakrpili i pristojno ga nagradili.
U sklopu Apple-ovog "bug bounty" programa 27-godišnji je developer iz Delhija dobio čak 100.000 dolara nagrade, a na svojem je blogu pre nekoliko dana objavio i sve detalje svog otkrića. Do primene zakrpe, poručili su iz Apple-a, nije bilo primećeno da je iko pokušao ili uspeo da iskoristi ovaj zero day propust. Istraga je pokazala da propust nije doveo do kompromitovanja niti jednog korisničkog naloga.
Zero-day in Sign in with Apple - bounty $100khttps://t.co/9lGeXcni3K
— Bhavuk Jain (@bhavukjain1) May 30, 2020
Funkcija "Sign In With Apple" predstavljena je na prošlogodišnjem WWDC-u kao dodatni način prijave na servise bez odavanja svoje a-mail adrese, samo klikanjem na jednu ikonu koja bi odrađivala proveru korisnika putem sistema Apple ID.
Pretpostavlja se da je ovaj propust mogao dovesti do preuzimanja kontrole nad tuđim nalozima na servisima Dropbox, Spotify, Airbnb ili drugima koji omogućavaju prijavu putem Apple-ove provere identiteta.
Postavi komentar
Vaš komentar: