Apple выплатила $100 000 за критическую уязвимость в Sign in with Apple

Apple выплатила $100 000 за критическую уязвимость в Sign in with Apple

Специалист в области кибербезопасности из Дели выявил критическую уязвимость в функции «Вход с Apple» (Sign in with Apple), которую купертиновцы представили в июне 2019 года. В ответ корпорация выплатила эксперту щедрое вознаграждение.

Напомним, что Apple позиционирует свою разработку Sign in with Apple как «более защищённый способ входа в приложения или на сайты». Другими словами, это безопасная система аутентификации.

Как это обычно бывает, нововведение не обошли стороной проблемы безопасности. Исследователь обнаружил уязвимость, которая в теории позволяет атакующему получить контроль над учётной записью пользователя.

Брешь признали критической, а Apple выплатила специалисту $100 000 в рамках собственной программы по поиску уязвимостей.

Поскольку купертиновцы уже устранили баг на стороне сервера, эксперт смог опубликовать подробности выявленной проблемы безопасности. Из соответствующего отчёта можно сделать вывод, что уязвимость затрагивает сторонние приложения, использующие функцию «Вход с Apple».

Если бы злоумышленники взяли на вооружение эту брешь, им бы удалось получить контроль над аккаунтами пользователей. При этом атака бы сработала даже в том случае, если жертва указала некорректный Apple ID.

Как объяснил исследователь, ему удалось запросить токены аутентификации для идентификатора электронной почты. Впоследствии этот ID можно верифицировать с помощью публичного ключа Apple.

Далее потенциальный злоумышленник мог подделать токен, связанный с любым идентификатором Apple, что в итоге приводило к взлому аккаунта атакуемого пользователя.

Стоит отметить, что Apple крайне ответственно отнеслась к полученной информации и провела внутреннее расследование, в ходе которого удалось установить, что киберпреступники не успели использовать уязвимость в атаках. Следовательно, нет повода переживать — аккаунты пользователей не пострадали.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Instagram хранил ваши удалённые фото и сообщения больше года

Если вы активно используете Instagram, то должны были сталкиваться с ситуациями, когда от того или иного контента хочется избавиться навсегда. Соответственно, вы рассчитываете, что фотографии и сообщения действительно удаляются с онлайн-площадки. Однако это не совсем так.

Исследователь в области кибербезопасности Сугат Покарель как-то запросил у Instagram копию фотографий и личных сообщений. Такая функция предусмотрена самой социальной сетью.

Эксперт очень удивился, когда ему отправили данные, которые он лично удалил более года назад. Другими словами, все эти фотографии и сообщения не покидали серверов Instagram.

Представители соцсети сослались на некий баг в системе, который сейчас якобы уже исправили. Самому специалисту, выявившему проблему, заплатили $6 000.

Тем не менее на устранение изъяна у Instagram ушёл не один месяц. Покарель обнаружил баг в октябре, а исправили его в начале августа.

«Исследователь сообщил нам о наличие удалённых сообщений и фотографий в копии данных пользователей. Мы устранили эту проблему, но не нашли доказательств её эксплуатации в злонамеренных целях», — заявил представитель Instagram.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru