Apple выплатила $100 000 за критическую уязвимость в Sign in with Apple

Олег Иванов 01 Июня 2020 - 08:14

Домашние пользователи

Корпорации

iOS

Apple

Системы аутентификации

Уязвимости программ

...

Apple выплатила $100 000 за критическую уязвимость в Sign in with Apple

Специалист в области кибербезопасности из Дели выявил критическую уязвимость в функции «Вход с Apple» (Sign in with Apple), которую купертиновцы представили в июне 2019 года. В ответ корпорация выплатила эксперту щедрое вознаграждение.

Напомним, что Apple позиционирует свою разработку Sign in with Apple как «более защищённый способ входа в приложения или на сайты». Другими словами, это безопасная система аутентификации.

Как это обычно бывает, нововведение не обошли стороной проблемы безопасности. Исследователь обнаружил уязвимость, которая в теории позволяет атакующему получить контроль над учётной записью пользователя.

Брешь признали критической, а Apple выплатила специалисту $100 000 в рамках собственной программы по поиску уязвимостей.

Поскольку купертиновцы уже устранили баг на стороне сервера, эксперт смог опубликовать подробности выявленной проблемы безопасности. Из соответствующего отчёта можно сделать вывод, что уязвимость затрагивает сторонние приложения, использующие функцию «Вход с Apple».

Если бы злоумышленники взяли на вооружение эту брешь, им бы удалось получить контроль над аккаунтами пользователей. При этом атака бы сработала даже в том случае, если жертва указала некорректный Apple ID.

Как объяснил исследователь, ему удалось запросить токены аутентификации для идентификатора электронной почты. Впоследствии этот ID можно верифицировать с помощью публичного ключа Apple.

Далее потенциальный злоумышленник мог подделать токен, связанный с любым идентификатором Apple, что в итоге приводило к взлому аккаунта атакуемого пользователя.

Стоит отметить, что Apple крайне ответственно отнеслась к полученной информации и провела внутреннее расследование, в ходе которого удалось установить, что киберпреступники не успели использовать уязвимость в атаках. Следовательно, нет повода переживать — аккаунты пользователей не пострадали.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Ноября 2025 - 15:29

Security Vision 5 VM Security Vision a-SGRC Security Vision CRS Security Vision IRP Security Vision SGRC Security Vision SOC Security Vision КИИ Корпорации Сетевая безопасность Security Vision

В платформе Security Vision расширили возможности автоматизации

Вышел новый релиз платформы Security Vision, в котором разработчики сосредоточились на повышении удобства повседневной работы специалистов, расширении возможностей автоматизации и учёте требований регуляторов.

Навигация и интерфейс

Теперь разделы «История запуска коннекторов» и «Расписания запуска коннекторов» объединены внутри модуля «Коннекторы». Обновлены представления «Дерево» и «Таблица», а также добавлены настройки по умолчанию для кратких и полных карточек в справочниках — интерфейс стал лаконичнее, а работа с повторяющимися элементами быстрее.

Аналитика и визуализация

В системе появилось версионирование виджетов — при добавлении их в дашборды или отчёты автоматически используется актуальная версия. Для популярных типов графиков и диаграмм теперь можно использовать данные блока как источник переменной, что делает визуализацию более гибкой.

Также добавлены новые операции с переменными, включая сдвиг дат (например, к началу или концу недели и месяца) и кодирование/декодирование Base64.

Рабочие процессы и отчёты

В действии «Создать отчёт» появился выбор между шаблонным документом и созданием отчёта с нуля в редакторе. Это ускоряет подготовку материалов и сокращает количество шаблонов, которые нужно сопровождать.

Теперь можно формировать отчёты из обычных текстовых файлов с тегами — система автоматически подставляет нужные данные. Также расширены возможности переопределения входных параметров в рабочих процессах, что делает их более универсальными.

Интеграции и коннекторы

В HTTP-коннекторе теперь можно указывать произвольный Content-Type, включая форматы для CSV-интеграций. В коннекторе «Почта» реализован поиск по регулярным выражениям внутри архивов вложений — нужные файлы можно извлекать без ручной распаковки.

Безопасность и контроль

В журнале аудита у каждой записи теперь есть уникальный идентификатор события — это помогает соответствовать требованиям по журналированию. Появилось предупреждение о скором завершении сессии и настройка режима единственной активной пользовательской сессии, что усиливает контроль доступа.

Администрирование и установка

В мастере установки теперь можно задать путь для сохранения логов развёртывания — это упрощает диагностику и анализ установки как на тестовых, так и на промышленных стендах.

Обновление делает Security Vision более удобной для специалистов и ближе к требованиям корпоративной и регуляторной безопасности.