Apple załatał krytyczną lukę w systemie logowania. Wypłacono 100 tys. dolarów nagrody Strona główna Aktualności02.06.2020 22:42 Apple wypłacił 100 tys. dolarów za wskazanie luki, fot. Getty Images Udostępnij: O autorze Oskar Ziomek @o.zio Apple wypłacił 100 tysięcy dolarów nagrody w ramach programu bug bounty za zgłoszenie luki w systemie Sign in with Apple. Chodzi o mechanizm logowania wykorzystujący elementy OpenID Connect oraz OAuth 2.0, który został zaprezentowany przez Apple w 2019 roku podczas konferencji WWDC. Teraz okazało się, że był wadliwy, bo atakujący mógł zdobyć dostęp do dowolnego konta, jeśli ofiara korzystała z aplikacji, w których nie wprowadzono dodatkowych zabezpieczeń. Lukę odkrył 27-letni Bhavuk Jain, który opisał szczegóły swoich działań na blogu. Luka została odkryta w kwietniu bieżącego roku i zgłoszona producentowi, za co wypłacono nagrodę w wysokości 100 tys. dolarów. Kolejne etapy uwierzytelniania podczas korzystania z Sign in with Apple, źródło: Bhavuk Jain. Jak podaje badacz, problem polegał na wykorzystaniu niektórych aplikacji zewnętrznych producentów, których programiści pominęli dodatkowe mechanizmy zabezpieczające. Efektem była możliwość przejęcia kont i to bez względu na to, czy ich właściciele dysponowali prawidłowymi identyfikatorami Apple ID. Okazuje się, że wystarczyło sfałszować sieciowy token JSON (JWT). O ile był podpisany publicznym kluczem Apple'a, identyfikator był uznawany za prawdziwy, co pozwalało dokończyć uwierzytelnianie rzekomego użytkownika. Apple zbadał sprawę i poinformował, że nie odnotował przypadków wykorzystania opisywanej luki. Teraz jest już natomiast załatana, a użytkownicy – bezpieczni. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Bug Bounty: oto jak działa polowanie na błędy 28 paź 2019 Kamil J. Dudek Oprogramowanie Bezpieczeństwo IT.Pro 44 Steam już jest bezpieczny? Specjaliści są innego zdania 13 sie 2019 Anna Rymsza Oprogramowanie Bezpieczeństwo 40 Poważna luka w aplikacji Steam. Zagrożonych jest prawie 100 mln użytkowników 9 sie 2019 Mateusz Żołyniak Oprogramowanie Internet Bezpieczeństwo 153 VLC ma krytyczną lukę. Błąd pozwala atakującym zdalnie uruchamiać kod [Aktualizacja] 21 lip 2019 Oskar Ziomek Oprogramowanie Bezpieczeństwo 151
Udostępnij: O autorze Oskar Ziomek @o.zio Apple wypłacił 100 tysięcy dolarów nagrody w ramach programu bug bounty za zgłoszenie luki w systemie Sign in with Apple. Chodzi o mechanizm logowania wykorzystujący elementy OpenID Connect oraz OAuth 2.0, który został zaprezentowany przez Apple w 2019 roku podczas konferencji WWDC. Teraz okazało się, że był wadliwy, bo atakujący mógł zdobyć dostęp do dowolnego konta, jeśli ofiara korzystała z aplikacji, w których nie wprowadzono dodatkowych zabezpieczeń. Lukę odkrył 27-letni Bhavuk Jain, który opisał szczegóły swoich działań na blogu. Luka została odkryta w kwietniu bieżącego roku i zgłoszona producentowi, za co wypłacono nagrodę w wysokości 100 tys. dolarów. Kolejne etapy uwierzytelniania podczas korzystania z Sign in with Apple, źródło: Bhavuk Jain. Jak podaje badacz, problem polegał na wykorzystaniu niektórych aplikacji zewnętrznych producentów, których programiści pominęli dodatkowe mechanizmy zabezpieczające. Efektem była możliwość przejęcia kont i to bez względu na to, czy ich właściciele dysponowali prawidłowymi identyfikatorami Apple ID. Okazuje się, że wystarczyło sfałszować sieciowy token JSON (JWT). O ile był podpisany publicznym kluczem Apple'a, identyfikator był uznawany za prawdziwy, co pozwalało dokończyć uwierzytelnianie rzekomego użytkownika. Apple zbadał sprawę i poinformował, że nie odnotował przypadków wykorzystania opisywanej luki. Teraz jest już natomiast załatana, a użytkownicy – bezpieczni. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji