A A A

„Sign in with Apple” z luką w zabezpieczeniach

2 czerwca 2020, 14:50
Logowanie się do usług przez konto Apple'a nie zawsze jest bezpieczne.
„Sign in with Apple” z luką w zabezpieczeniach

Poważna podatność w funkcji urządzeń Apple'a

Od mniej więcej roku użytkownicy mogą logować się w różnych serwisach firm trzecich za pomocą konta Apple'a. Podobną możliwość dają m.in. Facebook i Google. Jak się jednak okazuje, zastosowanie Apple ID nie zawsze jest bezpieczne.

 

Problem z prywatnością

Apple chciał, by funkcja „Sign in with Apple” dzięki utajnieniu adresu e-mail użytkownika lepiej dbała o ochronę prywatności niż propozycje konkurencji. O ile opcja ta działa bez zarzutu, o tyle w oprogramowaniu odkryto poważną podatność. Poinformował o niej Bhavuk Jain, badacz ds. cyberbezpieczeństwa, który wzbogacił się dzięki temu o 100 tys. dolarów.

Luka została zgłoszona już w zeszłym miesiącu i udało się ją zataić do czasu załatania. Nie wiadomo, czy była znana przestępcom, prawdopodobnie jednak nie naraziła nikogo na poważniejsze straty.

 

Proste włamanie

Badaczowi udało się oszukać mechanizm dzięki temu, że podczas weryfikacji danych po stronie klienta usługa pobiera token z serwerów Apple'a. Tożsamość sprawdzano jednak w momencie zainicjowania żądania, a nie podczas prośby o token. Dzięki temu w kolejnym kroku przestępca mógł ustawić własny adres e-mail i zalogować się do usługi z cudzą tożsamością, a nawet zarejestrować nowe konto. Pozwalało to na włamanie do kont Spotify czy Dropbox użytkownika korzystającego z Apple ID.

Firma Apple sama ogłosiła wystąpienie błędu i zapewniła użytkowników, że po ostatnich aktualizacjach wszystko działa już prawidłowo.

fot. KK


Krzysztof Kempski
Tagi: Apple, iPhone
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności

Discord nie tylko dla graczy
3 lipca 2020
Aplikacja rozpoczyna rebranding, który ma poszerzyć grono odbiorców, przede wszystkim spoza kręgu graczy.

Policja odszyfrowała przestępców
3 lipca 2020
Europejskie służby użyły złośliwego oprogramowania, by rozpracować bandytów. W Wielkiej Brytanii aresztowano prawie 750 osób.


Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto