blogerfa : جایزه هزار دلاری اپل به یابنده حفره امنیتی در سیستم «Sign in with Apple»

در dalwood مطلب جایزه هزار دلاری اپل به یابنده حفره امنیتی در سیستم «Sign in with Apple» مشاهده می کنید

اپل به یک محقق امنیتی به نام Bhavuk Jain که توانسته اخیرا یک نقص امنیتی جدی را در سیستم لاگین «Sign in with Apple» این شرکت کشف کند، جایزه هزار دلاری پرداخت کرد.

این باگ به هکرها این اجازه را می‌داد تا کنترل حساب کاربری شخص را در برخی وب‌سایت‌ها و اپلیکیشن‌ها در دست بگیرند. به گفته این محقق، حفره امنیتی مذکور در شیوه ای است که اپل از طریق آن برای تایید هویت کاربران استفاده می‌کند. این سیستم لاگین سال گذشته توسط اپل معرفی شد و از طریق اپل آیدی قابل استفاده است.

تعطیلی فروشگاه‌های اپل در آمریکا به دلیل اعتراضات گسترده در این کشور

یکی از برتری‌های سیستم «Sign in with Apple» نسبت به دیگر روش‌ها در این است که کاربر می‌تواند ایمیل خود را از سرویس‌ها یا اپلیکیشن‌های ثالث پنهان کند. در این سیستم، برای تایید هویت کاربر از یک JWT (مخفف عبارت JSON Web Token) یا یک کدی که توسط سرورهای اپل ایجاد می‌شود، استفاده می‌شود.

در فرآیند تایید هویت، اپل این امکان را به کاربر می‌دهد تا اپل آیدی خود را با اپلیکیشن‌های ثالث به اشتراک بگذارند یا در صورت تمایل، پنهان کند. اگر کاربر، گزینه عدم اشتراک را انتخاب کند، اپل از یک سیستم ساخت ایمیل جدید استفاده می‌کند. بعد از آنکه تایید هویت با موفقیت انجام شد، اپل با توجه به آنچه کاربر انتخاب می‌کند، یک JWT تولید می‌کند که حاوی آیدی ایمیل است.

سپس اپلیکیشن‌های شاخص از این آیدی برای لاگین شدن کاربر استفاده می‌شود و این همان جایی است که حفره امنیتی ظاهر می‌شود. این محقق امنیتی در گزارش این باگ اعلام کرده بود که می‌تواند برای هر آیدی ایمیل اپل، JWT درخواست کند و با استفاده از آن به اطلاعات شخصی کاربر دسترسی داشته باشد.

به گفته Jain، تاثیر این حفره امنیتی بسیار زیاد و البته حساس است زیرا امکان دسترسی کامل به اکانت را برای هکرها فراهم می‌کند. بسیاری از توسعه‌دهندگان از قابلیت لاگین Sign in with Apple برای محصولات خود استفاده کرده‌اند که از جمله آن‌ها می‌توان به دراپ باکس، اسپاتیفای، Airbnb و Giphy اشاره کرد.

باگ «بمب متنی» در آی او اس 13

با این حال، وی اعلام کرد که در بررسی های اپل مشخص شد که هیچ سوءاستفاده‌‎‌ای از طریق این حفره امنیتی از حساب های کاربری افراد صورت نگرفته و این شرکت توانسته مشکل مذکور را حل کند.

 

The post جایزه هزار دلاری اپل به یابنده حفره امنیتی در سیستم «Sign in with Apple» appeared first on ITIRAN | آی تی ایران.

ممنون بابت بازدید از سایت dalwood دست سازه های چوبی دال