Komunikaty PR

100 tysięcy dolarów dla programisty za wykrycie luki Apple

2020-06-02  |  01:00
Biuro prasowe

Bhaviuk Jain, specjalista bezpieczeństwa z Infosec, otrzymał 100 tysięcy dolarów od Apple za wykrycie luki, która umożliwiała ominięcie uwierzytelnień i przejęcie konta użytkownika.

 

 

Podczas ubiegłorocznej konferencji WWDC Apple ogłosiło wprowadzenie funkcji „Zaloguj się z Apple. Pozwala ona użytkownikowi zalogować się przy użyciu swojego identyfikatora Apple ID bez konieczności korzystania z konta w mediach społecznościowych, wypełniania formularzy czy weryfikowania adresu e-mail i wybierania nowego hasła. Jednakże w kwietniu  Bhaviuk Jain wykrył lukę 0-day, która mogła prowadzić do przejęcia konta osoby logującej się za pomocą Apple ID. Problem dotyczył aplikacji firm trzecich, które były zintegrowane z „Zaloguj się z Apple”, aczkolwiek nie posiadały własnych dodatkowych zabezpieczeń.

 

Funkcja „Zaloguj się z Apple” jest bardzo podobna do OAuth 2.0 i umożliwia uwierzytelnianie użytkownika na dwa sposoby: poprzez użycie JWT (JSON Web Token) lub kodu wygenerowanego na serwerze Apple. W czasie autoryzacji użytkownik może udostępnić identyfikator Apple ID aplikacji firm trzecich bądź nie zgodzić się na jego przekazanie. Jeśli identyfikator e-mail jest ukryty, Apple generuje token JWT zawierający informacje, która jest następnie wykorzystywana przez aplikację do uwierzytelnienia użytkownika.

 

Bhaviuk Jain zauważył, iż może zażądać od Apple tokenów uwierzytelniających dla każdego identyfikatora e-mail, które następnie zostają zweryfikowane przy użyciu klucza publicznego jako prawdziwe. Napastnik może zatem sfałszować token powiązany z dowolnym identyfikatorem e-mail i uzyskać za jego pomocą dostęp do konta ofiary.

 

  • Choć dla osób niewtajemniczonych cała operacja może wydawać się nie do końca zrozumiała,  luka wykryta przez Jaina była bardzo niebezpieczna, bowiem pozwalała przejąć pełną kontrolę nad kontami użytkowników. Warto dodać, że z opcją „Zaloguj się w Apple” zintegrowane są m.in  serwisy Spotify, Dropbox, Airbnb czy Giphy. Po drugie tak duży błąd powinien być wykryty przez developerów Apple. Fakt, że znajduje go osoba z zewnątrz nie wystawia najlepszego świadectwa producentowi, który niemal na każdym kroku podkreśla, że prywatność klientów jest jednym z jego priorytetów. - mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

 

Apple zapewnia, iż luka 0-day nigdy nie została wykorzystana, a błąd w usłudze „Zaloguj się z Apple” został usunięty.

 

Źródło: Bitdefender.pl; marken.com.pl

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.
Ostatnio dodane
komunikaty PR z wybranej przez Ciebie kategorii
IT i technologie Jak nowe technologie i AI kształtują przyszłość biznesu Biuro prasowe
2024-09-27 | 10:00

Jak nowe technologie i AI kształtują przyszłość biznesu

W erze dynamicznych zmian technologicznych, sztuczna inteligencja (AI) i nowe technologie zmieniają oblicze finansów. W ubiegłym tygodniu, podczas wydarzenia "Future of Finance
IT i technologie 2024 rokiem integracji sztucznej inteligencji według raportu UiPath
2024-09-26 | 16:00

2024 rokiem integracji sztucznej inteligencji według raportu UiPath

Coroczne badanie UiPath wykazało, że specjaliści ds. automatyzacji aktywnie integrują sztuczną inteligencję w swojej pracy, ponieważ branża automatyzacji oprogramowania nadal się
IT i technologie Nowe badania Salesforce: jest 5 typów osobowości z różnym podejściem do AI
2024-09-26 | 10:42

Nowe badania Salesforce: jest 5 typów osobowości z różnym podejściem do AI

Nowe badanie Slack Workforce Lab sprawdziło, co motywuje pracowników do korzystania ze sztucznej inteligencji i co sądzą oni o używaniu jej w pracy. Dzięki pogłębionym wywiadom i

Kalendarium

Więcej ważnych informacji

W 2023 roku w życie weszły 553 nowe przepisy dla firm, a ponad tysiąc zmieniło swoje brzmienie. Sztuczna inteligencja pozwala prawnikom nadążyć za zmianami
W 2023 roku w życie weszły 553 nowe przepisy dla firm, a ponad tysiąc zmieniło swoje brzmienie. Sztuczna inteligencja pozwala prawnikom nadążyć za zmianami 
Firmy dostosowują biura do nowych realiów na rynku pracy. Coraz częściej są miejscem spotkań i budowania relacji
Firmy dostosowują biura do nowych realiów na rynku pracy. Coraz częściej są miejscem spotkań i budowania relacji  
Wejście Ukrainy do UE może zająć jeszcze długie lata. Miałoby ono duży wpływ na polskie rolnictwo i rynek pracy
Wejście Ukrainy do UE może zająć jeszcze długie lata. Miałoby ono duży wpływ na polskie rolnictwo i rynek pracy 
Nowe trendy w digital marketingu. Innowacje rewolucjonizują działania agencji i klientów
Nowe trendy w digital marketingu. Innowacje rewolucjonizują działania agencji i klientów 
Miliard euro ze środków unijnych na rozwój technologii kosmicznych. Z programu Cassini skorzystało już ponad 600 europejskich firm
Miliard euro ze środków unijnych na rozwój technologii kosmicznych. Z programu Cassini skorzystało już ponad 600 europejskich firm 

Jedynka Newserii

Do 2050 roku lotnictwo ma być zeroemisyjne. Do osiągnięcia tego celu konieczna jest wymiana floty i przejście na ekologiczne paliwa
Do 2050 roku lotnictwo ma być zeroemisyjne. Do osiągnięcia tego celu konieczna jest wymiana floty i przejście na ekologiczne paliwa 

Jedynka Newserii

Ada Fijał: Młode pokolenie jest niezwykle obeznane z modą. Kiedyś my uczyliśmy uczestników naszych programów, co mają robić, a teraz często to my uczymy się od nich
Ada Fijał: Młode pokolenie jest niezwykle obeznane z modą. Kiedyś my uczyliśmy uczestników naszych programów, co mają robić, a teraz często to my uczymy się od nich 

Transport

Do 2050 roku lotnictwo ma być zeroemisyjne. Do osiągnięcia tego celu konieczna jest wymiana floty i przejście na ekologiczne paliwa

Lotnictwo odpowiada za ok. 4 proc. całkowitej emisji gazów cieplarnianych w UE. Międzynarodowa Organizacja Lotnictwa Cywilnego (ICAO) prognozowała, że wraz z dynamicznym wzrostem ruchu lotniczego do 2050 roku emisje z lotnictwa mogą się potroić w porównaniu z 2015 rokiem. Dlatego dwa lata temu wszystkie państwa członkowskie tej organizacji przyjęły zobowiązanie, by w ciągu kolejnych 25 lat dążyć do zeroemisyjności. Eksperci oceniają, że do tego konieczne są co najmniej dwa warunki – przejście na ekologiczne paliwa lotnicze i modernizacja floty.

Budowa CPK ma ruszyć w 2026 roku. Wyzwaniem będzie skumulowanie dużych inwestycji w jednym czasie Lotniska regionalne z dużym wzrostem czarterów. Stały się motorem napędowym ruchu pasażerskiego Duoport Lotniczy w Białymstoku ma być szansą na rozwój ściany wschodniej. Inicjatorzy rozmawiają z potencjalnymi inwestorami zagranicznymi M. Lasek: Z rozwojem cargo nie ma co czekać na nowe lotnisko centralne. Zachęty podatkowe mogłyby pomóc Port lotniczy w Modlinie chce rozbudować terminal i stanowiska dla samolotów. W planach także uruchomienie pozaeuropejskich kierunków

Prawo

Rośnie liczba wynalazków wykorzystujących sztuczną inteligencję. Za rozwojem technologii nie nadążają przepisy

W ciągu ostatnich 10 lat liczba patentów związanych z generatywną sztuczną inteligencją wzrosła z 733 w 2014 roku do ponad 14 tys. w 2023 roku – wynika z raportu Światowej Organizacji Własności Intelektualnej (WIPO). Łącznie w ciągu dekady przyznano niemal 54,5 tys. patentów dla tego typu wynalazków. Nie wszystkie kwestie związane z prawem własności intelektualnej, prawem autorskim, wykorzystaniem gen AI są uregulowane. – Potrzeba jeszcze trochę czasu, żeby znalazły się odpowiednie rozwiązania prawne, które pozwolą na ochronę rozwiązań wykorzystujących sztuczną inteligencję – ocenia Dorota Rzążewska, prezeska Polskiej Izby Rzeczników Patentowych.

DlaWas.info

Edukacja

MNiSW wspiera programy badawcze dotyczące żywienia. W planach jest też popularyzacja zdrowej diety

Resort nauki współfinansuje programy, które mają odpowiedzieć na wyzwania związane ze zdrowiem uczniów. Ruszyła właśnie kolejna edycja programu JEŻ – Junior-Edu-Żywienie, w którym rodzice i dzieci będą uczestniczyć w badaniu dotyczącym marnowania żywności. – Innym ważnym i nowatorskim komponentem jest program telewizyjny, który będzie popularyzował zdrowe żywienie – zapowiada Maciej Gdula, wiceminister nauki i szkolnictwa wyższego. Jak podkreśla, to przykład na to, jak wykorzystywać w praktyce wyniki badań naukowych.

Partner serwisu

Instytut Monitorowania Mediów

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.

© 2011 - 2023. NEWSERIA. Wszelkie prawa zastrzeżone. NEWSERIA jest znakiem chronionym w warstwie graficznej i słownej