Indijski programer otkrio veliki propust i od Apple-a dobio 100.000 dolara


Ovog aprila indijski developer Bhavuk Jain je otkrio veliki bezbednosni propust u procesu provere autentičnosti korisnika koji su se na vanjske servise prijavljivali svojim korisničkim nalogom otvorenim kod Apple-a. Propust u procesu "Sign In With Apple" omogućavao je napadaču upad u račune korisnika sa svojom e-mail adresom, jer je Apple-ov sistem greškom mogao da protumači bilo koju adresu kao autentičnu. Jain je pronađenu ranjivost prijavio kompaniji, a ovi su je zakrpili i pristojno ga nagradili.

U sklopu Apple-ovog "bug bounty" programa 27-godišnji je developer iz Delhija dobio čak 100.000 dolara nagrade, a na svojem je blogu pre nekoliko dana objavio i sve detalje svog otkrića. Do primene zakrpe, poručili su iz Apple-a, nije bilo primećeno da je iko pokušao ili uspeo da iskoristi ovaj zero day propust. Istraga je pokazala da propust nije doveo do kompromitovanja niti jednog korisničkog naloga.



Funkcija "Sign In With Apple" predstavljena je na prošlogodišnjem WWDC-u kao dodatni način prijave na servise bez odavanja svoje a-mail adrese, samo klikanjem na jednu ikonu koja bi odrađivala proveru korisnika putem sistema Apple ID.

Pretpostavlja se da je ovaj propust mogao dovesti do preuzimanja kontrole nad tuđim nalozima na servisima Dropbox, Spotify, Airbnb ili drugima koji omogućavaju prijavu putem Apple-ove provere identiteta.

Podeli
Pošalji
Podeli
Podeli
Pošalji
Pošalji

Komentariši! Budi prvi i započni diskusiju!
Broj komentara:
0

Postavi komentar

Vaš komentar:

 
Početna      Impressum      Pravila komentarisanja      Marketing      Kontakt
 

 
© 2009-2019 IT vesti - Sva prava zadržana. Zabranjeno je svako kopiranje sadržaja sajta bez pismene dozvole.