Komunikaty PR

100 tysięcy dolarów dla programisty za wykrycie luki Apple

2020-06-02 | 01:00

Bhaviuk Jain, specjalista bezpieczeństwa z Infosec, otrzymał 100 tysięcy dolarów od Apple za wykrycie luki, która umożliwiała ominięcie uwierzytelnień i przejęcie konta użytkownika.

Podczas ubiegłorocznej konferencji WWDC Apple ogłosiło wprowadzenie funkcji „Zaloguj się z Apple. Pozwala ona użytkownikowi zalogować się przy użyciu swojego identyfikatora Apple ID bez konieczności korzystania z konta w mediach społecznościowych, wypełniania formularzy czy weryfikowania adresu e-mail i wybierania nowego hasła. Jednakże w kwietniu Bhaviuk Jain wykrył lukę 0-day, która mogła prowadzić do przejęcia konta osoby logującej się za pomocą Apple ID. Problem dotyczył aplikacji firm trzecich, które były zintegrowane z „Zaloguj się z Apple”, aczkolwiek nie posiadały własnych dodatkowych zabezpieczeń.

Funkcja „Zaloguj się z Apple” jest bardzo podobna do OAuth 2.0 i umożliwia uwierzytelnianie użytkownika na dwa sposoby: poprzez użycie JWT (JSON Web Token) lub kodu wygenerowanego na serwerze Apple. W czasie autoryzacji użytkownik może udostępnić identyfikator Apple ID aplikacji firm trzecich bądź nie zgodzić się na jego przekazanie. Jeśli identyfikator e-mail jest ukryty, Apple generuje token JWT zawierający informacje, która jest następnie wykorzystywana przez aplikację do uwierzytelnienia użytkownika.

Bhaviuk Jain zauważył, iż może zażądać od Apple tokenów uwierzytelniających dla każdego identyfikatora e-mail, które następnie zostają zweryfikowane przy użyciu klucza publicznego jako prawdziwe. Napastnik może zatem sfałszować token powiązany z dowolnym identyfikatorem e-mail i uzyskać za jego pomocą dostęp do konta ofiary.

Choć dla osób niewtajemniczonych cała operacja może wydawać się nie do końca zrozumiała, luka wykryta przez Jaina była bardzo niebezpieczna, bowiem pozwalała przejąć pełną kontrolę nad kontami użytkowników. Warto dodać, że z opcją „Zaloguj się w Apple” zintegrowane są m.in serwisy Spotify, Dropbox, Airbnb czy Giphy. Po drugie tak duży błąd powinien być wykryty przez developerów Apple. Fakt, że znajduje go osoba z zewnątrz nie wystawia najlepszego świadectwa producentowi, który niemal na każdym kroku podkreśla, że prywatność klientów jest jednym z jego priorytetów. - mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Apple zapewnia, iż luka 0-day nigdy nie została wykorzystana, a błąd w usłudze „Zaloguj się z Apple” został usunięty.

Źródło: Bitdefender.pl; marken.com.pl

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.

Ostatnio dodane

komunikaty PR z wybranej przez Ciebie kategorii

IT i technologie

2025-03-03 | 12:05

Motorola na MWC 2025: kolejna generacja ekosystemu Smart Connect ze wsparciem moto ai

W zeszłym roku Motorola i Lenovo utworzyły ekosystem Smart Connect, aby umożliwić płynną współpracę smartfonów, tabletów oraz komputerów

IT i technologie

2025-02-26 | 11:15

Praca w IT bez doświadczenia. Liderzy EY GDS o tym, jak odnaleźć swoją ścieżkę do sukcesu na rynku IT

Branża IT przyciąga jak magnes. Zwłaszcza obecnie, gdy AI staje się rzeczywistością, która zmienia sposób, w jaki pracujemy i żyjemy. Praca w IT daje

IT i technologie

2025-02-10 | 15:50

Wyzwania związane z cyfryzacją firm - jak je pokonać?

W dzisiejszym dynamicznie zmieniającym się świecie biznesu, cyfryzacja stała się nie tyle opcją, co koniecznością dla firm chcących utrzymać konkurencyjność. Jednak proces

Kalendarium

27 marca

Konferencja prasowa prezentująca wyniki Europejskiego Programu Badań Ankietowych w Szkołach na temat używania alkoholu i narkotyków - ESPAD 2024

27 marca

Konferencja prasowa prezentująca wyniki Europejskiego Programu Badań Ankietowych w Szkołach na temat używania alkoholu i narkotyków - ESPAD 2024

31 marca

Debata ekspercka: „De:Regulacje. Biznes potrzebuje prostych zasad”

31 marca

Debata ekspercka: „De:Regulacje. Biznes potrzebuje prostych zasad”

15 kwietnia

EFNI Wiosna: „Przyszłość pracy, praca przyszłości” - edycja specjalna w Warszawie

Więcej ważnych informacji

Automatyzacja pomaga firmom budować przewagę nad konkurencją. Zwłaszcza wykorzystanie narzędzi sztucznej inteligencji

Ekonomiczna dostępność alkoholu rośnie. To zwiększa jego konsumpcję i prowadzi do uzależnień

Dostęp do wysoko wykwalifikowanej kadry przyciąga do Polski inwestorów. Kluczowymi partnerami stają się firmy z Wielkiej Brytanii

Coraz lepsze perspektywy dla branży fitness. Sieć Xtreme Fitness Gyms zapowiada rozwój również poza Polską

Klienci oczekują od salonów optycznych nie tylko profesjonalnych badań wzroku. Ważne jest także doradztwo w doborze oprawek

Jedynka Newserii

Automatyzacja pomaga firmom budować przewagę nad konkurencją. Zwłaszcza wykorzystanie narzędzi sztucznej inteligencji

Prawo

S. Cichanouska: Białorusini żyją jak w gułagach z czasów stalinowskich. Jednak nie poddają się mimo represji i brutalności reżimu

Przedstawiciele białoruskiej opozycji podkreślają, sytuacja w kraju jest bardzo poważna. Z jednej strony od niemal pięciu lat ludzie na Białorusi żyją jak w gułagach z czasów stalinowskich, doświadczają represji, są codzienne zatrzymania. – Co najmniej pół miliona ludzi musiało uciec z kraju – mówi agencji informacyjnej Newseria Swiatłana Cichanouska, liderka białoruskiej opozycji, która w 2020 roku kandydowała na stanowisko prezydenta Białorusi.

Instytucje unijne przyglądają się kryzysowi politycznemu w Serbii. Kolejny miesiąc potężnych demonstracji Waldemar Buda: Brakuje jasnej deklaracji w sprawie zajęcia się sprawą Mercosuru w tym półroczu. Nie są planowane też zmiany w Planie Migracyjnym M. Kobosko: Obowiązkiem Europy jest wspieranie białoruskiej opozycji i wolnych mediów. Najgorszym scenariuszem dla Polski jest wchłonięcie Białorusi przez Rosję M. Gosiewska: Na Białorusi znowu odbędą się pseudowybory. Należy zaostrzyć sankcje uderzające w reżim i firmy europejskie tam obecne R. Metsola: Polska ma bardzo dobrą pozycję do bycia liderem UE na następne pół roku. Bezpieczeństwo w centrum uwagi prezydencji

Handel

Automatyzacja pomaga firmom budować przewagę nad konkurencją. Zwłaszcza wykorzystanie narzędzi sztucznej inteligencji

Firmy coraz chętniej inwestują w cyfryzację i automatyzację procesów, w tym z wykorzystaniem sztucznej inteligencji (AI), co pozwala im oszczędzać czas, redukować koszty operacyjne i poprawiać jakość obsługi klienta. Nowoczesne narzędzia takie jak platforma FlowDog pozwalają relatywnie szybko i efektywnie kosztowo usprawniać procesy obsługi reklamacji, zleceń serwisowych czy analizę danych sprzedażowych. Eksperci podkreślają, że dobrze wdrożona automatyzacja może przynieść zwrot z inwestycji już w ciągu kilku miesięcy, zwiększając konkurencyjność firm na dynamicznie zmieniającym się rynku.

Handel

Odwetowe cła z UE na amerykańskie towary mogą być kolejnym etapem wojny handlowej. Następne decyzje spowodują dalszy wzrost cen

Komisja Europejska zapowiedziała nałożenie ceł na amerykańskie produkty w reakcji na wejście w życie ceł USA na stal i aluminium. Unijne cła o wartości 26 mld zł wejdą w życie 1 kwietnia, a w pełni zostaną wdrożone od 13 kwietnia. Donald Trump już zapowiada, że na to odpowie. – Wchodzimy w etap wojny handlowej między Unią Europejską a Stanami Zjednoczonymi i na pewno będziemy świadkami wielu takich odwetów z każdej strony – ocenia europosłanka Anna Bryłka.

Partner serwisu

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.