web analytics

Apple izmaksā 100 000 USD par atrastu kļūdu savā kodā

Jaunākie raksti

Satechi prezentējis lādētāju, kurā var uzlādēt līdz pat piecām Apple ierīcēm

Šī gada CES 2021 izstādē Satechi prezentējis jaunu aksesuāru mobilo telefonu un planšetdatoru lietotājiem. Šis produkts tiek īpaši mērķēts...

“Cradlewise” rada mākslīgā intelekta kustinātu šūpuli, kas palīdzēs mazulim ātrāk aizmigt

Labs miegs ir tas, ko īpaši novērtēs jaunie vecāki, kuri bieži vien tā kārtīgi izgulēties nevar mēnešiem ilgi. Tā...

Savulaik populārais “Renault 5” atgriezīsies kā elektriskais hečbeks

Francijas autoražotājs "Renault" apstiprinājis, ka tas radīs jaunu versiju savulaik populārajam "Renault 5" hečbekam. Jaunais auto būs daļa no...

Zaļo tehnoloģiju akselerators attīstīs ilgtspējas uzņēmumus Baltijā

Lai veicinātu tādu inovāciju attīstību, kas piedāvā ilgtspējīgus risinājumus un tiecas uz labāku nākotni, Swedbank Latvija kopā ar tehnoloģiju...

Arī Xiaomi krīt Trampa nežēlastībā

Lai arī Donaldam Trampam prezidenta amats būs jāpamet jau pavisam drīz, tomēr vēl arvien norit aktīva cīņa ar ārējo...



Mobilo aplikāciju izstrādātājs Bhavuk Jain atradis visai nopietnu ievainojamību Apple servisā “Sign in with Apple” un par to saņēmis 100 000 USD prēmiju no kompānijas.

Kļūda bijusi saistīta ar iespēju piekļūt pilnīgai konta informācija un to pārņemt, ja lietotājs ir izvēlējies ielogoties ar “Sign in with Apple” iespēju, kuru kompānija sāka piedāvāt 2019. gadā kā vēl vienu alternatīvu Facebook un Google autentifikācijām. Apple servisa bonus bija iespēja slēpt e-pastu, lai trešo pušu izmantotājiem nebūtu tik plaši pieejama informācija datu un reklāmas nolūkos.

Izmantojot šo pieteikšanās iespēju, Apple izmanto speciālo JSON Web Token (JWT) identifikatoru vai speciālu kodu, kuru ģenerē uzņēmuma serveri. Ja lietotājs izvēlas slēpt savu e-pastu no attiecīgās lapas, kurā tas vēlas ielogoties, tiek piešķirts identifikācijas kods šai e-pasta adresei. Jebkurā gadījumā pēc autentifikācijas visiem tiek piešķirts JWT marķiera kods. Sekojoši pēc tam ikvienam bija iespējams piekļūt jebkuram marķierim, tādējādi izmantot jebkura lietotāja informāciju, lai piekļūtu dažādiem servisiem. Īpaši bīstama šī situācija izrādījās tajās mājaslapā un platformās, kuras neizmantoja papildus identifikācijas soļus, paļaujoties vien uz Apple sniegtajām iespējām. Tātad pēc ielogošanās ar “Sign in with Apple” bija iespējams piekļūt jebkura lietotāja kontam, izmantojot šifrētos kodus.

Bhavuk Jain par šo kļūdu bija ziņojis Apple, par ko oficiāli saņēmis 100 000 USD kompensāciju, balstoties uz kompānijas izstrādāto programmu šādās situācijas. Līdz ar to tas norāda patiešām uz nopietno ievainojamību, kura nu jau tikusi salabota.

6 komentāri

Paziņot par jaunumiem
Paziņot par
guest
6 Comments
vecākie
jaunākie
Inline Feedbacks
View all comments
digitalk

interesanti, bet diez vai noskaidrojami, cik vidēji saņem tādi, kā «unc0ver» izstrādātāji? tur tak specdienestiem būtu rindā jāstāv…

pajolis

Henrij, Tu pie vella pats saproti, ko uzrakstiji?
Ielogojos, saņemu JWT…pēkšņi varu piekļūt visiem JWT?
pieņemu, ka bija tā, ka varēji uzģenerēto JWT izmantot citā vietā, nevis piekļūt visiem JWT. Un ja attiecīgais servisa (a) piedāvātājs lietotāja uzģenerēto JWT uzglabā savā pusē, tad pēc idejas, (a) izmantojot JWT varēja piekļūt citam servisam (b) ar to pašu JWT
 
Ceru, ka to pajoli, kurš uzkodēja tik jobanu risinājumu – atlaida

Kristaps Skutelis

Pēc šī komentāra redzu, ka tu pats ne sūda nejēdz, ko uzrakstīji :D Mācies, skolēn!

hdtrs

Un cik maksās man par to, ja šajā rakstā atradīšu kļūdu?

digitalk

es tev aizskaitīšu vienu eiro centu, maksājuma mērķī norādot “par sīkiem, seksuāliem pakalpojumiem”. derēs?

Kristaps Skutelis

Necik.

Reklāma
Reklāma

Spelling error report

The following text will be sent to our editors: