Apple załatał krytyczną lukę w systemie logowania. Wypłacono 100 tys. dolarów nagrody Strona główna Aktualności02.06.2020 22:42 Apple wypłacił 100 tys. dolarów za wskazanie luki, fot. Getty Images Udostępnij: O autorze Oskar Ziomek @o.zio Apple wypłacił 100 tysięcy dolarów nagrody w ramach programu bug bounty za zgłoszenie luki w systemie Sign in with Apple. Chodzi o mechanizm logowania wykorzystujący elementy OpenID Connect oraz OAuth 2.0, który został zaprezentowany przez Apple w 2019 roku podczas konferencji WWDC. Teraz okazało się, że był wadliwy, bo atakujący mógł zdobyć dostęp do dowolnego konta, jeśli ofiara korzystała z aplikacji, w których nie wprowadzono dodatkowych zabezpieczeń. Lukę odkrył 27-letni Bhavuk Jain, który opisał szczegóły swoich działań na blogu. Luka została odkryta w kwietniu bieżącego roku i zgłoszona producentowi, za co wypłacono nagrodę w wysokości 100 tys. dolarów. Kolejne etapy uwierzytelniania podczas korzystania z Sign in with Apple, źródło: Bhavuk Jain. Jak podaje badacz, problem polegał na wykorzystaniu niektórych aplikacji zewnętrznych producentów, których programiści pominęli dodatkowe mechanizmy zabezpieczające. Efektem była możliwość przejęcia kont i to bez względu na to, czy ich właściciele dysponowali prawidłowymi identyfikatorami Apple ID. Okazuje się, że wystarczyło sfałszować sieciowy token JSON (JWT). O ile był podpisany publicznym kluczem Apple'a, identyfikator był uznawany za prawdziwy, co pozwalało dokończyć uwierzytelnianie rzekomego użytkownika. Apple zbadał sprawę i poinformował, że nie odnotował przypadków wykorzystania opisywanej luki. Teraz jest już natomiast załatana, a użytkownicy – bezpieczni. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Nvidia i Apple kończą współpracę: koniec CUDA na macOS. Co to oznacza? 26 lis 2019 Piotr Urbaniak Oprogramowanie Sprzęt Biznes 97 Xbox Bounty już działa. Microsoft zapłaci za wykrytą lukę do 20 tys. dolarów 31 sty Oskar Ziomek Oprogramowanie Gaming Biznes Bezpieczeństwo 10 Microsoft ostrzega przed 0-day w Internet Explorerze. Póki co brak patcha 18 sty Bolesław Breczko Oprogramowanie Internet Bezpieczeństwo 81 Apple zapłaciło 75 tysięcy dolarów za wykrycie luki. Pozwalała na dostęp do aparatu 5 kwi Arkadiusz Stando Oprogramowanie Internet Bezpieczeństwo 28
Udostępnij: O autorze Oskar Ziomek @o.zio Apple wypłacił 100 tysięcy dolarów nagrody w ramach programu bug bounty za zgłoszenie luki w systemie Sign in with Apple. Chodzi o mechanizm logowania wykorzystujący elementy OpenID Connect oraz OAuth 2.0, który został zaprezentowany przez Apple w 2019 roku podczas konferencji WWDC. Teraz okazało się, że był wadliwy, bo atakujący mógł zdobyć dostęp do dowolnego konta, jeśli ofiara korzystała z aplikacji, w których nie wprowadzono dodatkowych zabezpieczeń. Lukę odkrył 27-letni Bhavuk Jain, który opisał szczegóły swoich działań na blogu. Luka została odkryta w kwietniu bieżącego roku i zgłoszona producentowi, za co wypłacono nagrodę w wysokości 100 tys. dolarów. Kolejne etapy uwierzytelniania podczas korzystania z Sign in with Apple, źródło: Bhavuk Jain. Jak podaje badacz, problem polegał na wykorzystaniu niektórych aplikacji zewnętrznych producentów, których programiści pominęli dodatkowe mechanizmy zabezpieczające. Efektem była możliwość przejęcia kont i to bez względu na to, czy ich właściciele dysponowali prawidłowymi identyfikatorami Apple ID. Okazuje się, że wystarczyło sfałszować sieciowy token JSON (JWT). O ile był podpisany publicznym kluczem Apple'a, identyfikator był uznawany za prawdziwy, co pozwalało dokończyć uwierzytelnianie rzekomego użytkownika. Apple zbadał sprawę i poinformował, że nie odnotował przypadków wykorzystania opisywanej luki. Teraz jest już natomiast załatana, a użytkownicy – bezpieczni. Oprogramowanie Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji