A A A

„Sign in with Apple” z luką w zabezpieczeniach

2 czerwca 2020, 14:50
Logowanie się do usług przez konto Apple'a nie zawsze jest bezpieczne.
„Sign in with Apple” z luką w zabezpieczeniach

Poważna podatność w funkcji urządzeń Apple'a

Od mniej więcej roku użytkownicy mogą logować się w różnych serwisach firm trzecich za pomocą konta Apple'a. Podobną możliwość dają m.in. Facebook i Google. Jak się jednak okazuje, zastosowanie Apple ID nie zawsze jest bezpieczne.

 

Problem z prywatnością

Apple chciał, by funkcja „Sign in with Apple” dzięki utajnieniu adresu e-mail użytkownika lepiej dbała o ochronę prywatności niż propozycje konkurencji. O ile opcja ta działa bez zarzutu, o tyle w oprogramowaniu odkryto poważną podatność. Poinformował o niej Bhavuk Jain, badacz ds. cyberbezpieczeństwa, który wzbogacił się dzięki temu o 100 tys. dolarów.

Luka została zgłoszona już w zeszłym miesiącu i udało się ją zataić do czasu załatania. Nie wiadomo, czy była znana przestępcom, prawdopodobnie jednak nie naraziła nikogo na poważniejsze straty.

 

Proste włamanie

Badaczowi udało się oszukać mechanizm dzięki temu, że podczas weryfikacji danych po stronie klienta usługa pobiera token z serwerów Apple'a. Tożsamość sprawdzano jednak w momencie zainicjowania żądania, a nie podczas prośby o token. Dzięki temu w kolejnym kroku przestępca mógł ustawić własny adres e-mail i zalogować się do usługi z cudzą tożsamością, a nawet zarejestrować nowe konto. Pozwalało to na włamanie do kont Spotify czy Dropbox użytkownika korzystającego z Apple ID.

Firma Apple sama ogłosiła wystąpienie błędu i zapewniła użytkowników, że po ostatnich aktualizacjach wszystko działa już prawidłowo.

fot. KK


Krzysztof Kempski
Tagi: Apple, iPhone
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności

Snapchat zachęca do głosowania
7 sierpnia 2020
Znana aplikacja, która do tej pory służyła głównie rozrywce, teraz chce zachęcić młodych Amerykanów do głosowania w nadchodzących...


TikTok zakazany w USA
7 sierpnia 2020
Donald Trump podpisał rozporządzenie zabraniające właścicielowi TikToka prowadzenia działalności w Stanach Zjednoczonych.

Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto