Войти с помощью Apple — новая опция, повышающая конфиденциальность

Войти с помощью Apple — новая опция, повышающая конфиденциальность

Войти с помощью Apple — новая опция, повышающая конфиденциальность

На конференции WWDC 2019 Apple рассказала о своих планах сделать процесс аутентификации в приложениях более безопасным. По словам представителей корпорации, разработчики тестируют функцию «Войти с помощью Apple», которой можно будет воспользоваться в случае со всеми приложениями, поддерживающими вход с учетными данными сторонних сервисов.

Apple детально расписала новую схему на ресурсе для разработчиков. Теперь все создатели приложений, поддерживающих вход с аккаунтами Google, Facebook или Twitter, должны включить в этот список опцию «Войти с помощью Apple».

Бета-версию нововведения планируют запустить летом. Как только это произойдет, разработчики смогут протестировать новую функцию в своих приложениях.

На первый взгляд может показаться, что Apple слишком агрессивно навязывает разработчикам опцию «Войти с помощью Apple», но в компании отмечают: это делается из соображений конфиденциальности пользователей.

По словам руководства Apple, функция «Войти с помощью Apple» не будет передавать какие-либо данные пользователя приложениям. Более того, с помощью этого нововведения можно создать одноразовый уникальный почтовый ящик для аутентификации, который впоследствии будет удален.

«Простой API позволит разработчикам добавить кнопку “Войти с помощью Apple“ прямо в их приложения. Просто нажмите на нее, и вы сможете пройти аутентификацию с помощью Face ID», — заявил Крейг Федериги на конференции.

Согласно документации, новая система входа будет совместима с приложениями для систем iOS, macOS, tvOS и watchOS. Также систему можно будет использовать и на других веб-платформах с помощью JavaScript.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Две уязвимости в Linux дают root-доступ через SSH за несколько секунд

Исследователи из Qualys нашли сразу две свежие уязвимости в Linux (CVE-2025-6018 и CVE-2025-6019), которые в связке позволяют получить полный контроль над системой — root-доступ — с минимальными усилиями. Причём затрагивают они почти все популярные дистрибутивы.

Первая уязвимость (CVE-2025-6018) связана с конфигурацией PAM (Pluggable Authentication Modules) в openSUSE Leap 15 и SUSE Linux Enterprise 15. Из-за ошибки система думает, что любой пользователь, подключившийся даже по SSH, находится физически за компьютером. А это даёт ему так называемые привилегии allow_active.

Именно эти привилегии позволяют запустить вторую уязвимость — CVE-2025-6019. Она находится в библиотеке libblockdev и реализуется через демон udisks, который предустановлен почти в каждом дистрибутиве.

Как только атакующий получил allow_active, он может через udisks выполнить необходимые действия и стать root. А дальше — по классике: выключить защиту, установить бэкдор, изменить конфигурации, развернуть атаку по сети.

Исследователи проверили эксплойт на Ubuntu, Debian, Fedora и openSUSE — всё работает. Причём никаких хитростей не нужно: всё основано на штатных, предустановленных компонентах.

«Путь от обычного пользователя до root занимает секунды. Эксплойт использует уже доверенные сервисы — PAM, udisks и polkit. Это делает атаку особенно простой и опасной», — говорит Саид Аббаси из Qualys.

Патчи уже переданы разработчикам дистрибутивов. Некоторые уже начали выпускать обновления, в том числе с изменениями в политике доступа к org.freedesktop.udisks2.modify-device. Теперь для модификации устройств потребуется подтверждение от администратора.

Qualys настоятельно рекомендует немедленно установить обновления, как только они станут доступны. Потому что уязвимости не только позволяют получить root-доступ, но и дают шанс использовать другие атаки, которые требуют allow_active.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru