Komunikaty PR

100 tysięcy dolarów dla programisty za wykrycie luki Apple

2020-06-02  |  01:00
Biuro prasowe

Bhaviuk Jain, specjalista bezpieczeństwa z Infosec, otrzymał 100 tysięcy dolarów od Apple za wykrycie luki, która umożliwiała ominięcie uwierzytelnień i przejęcie konta użytkownika.

 

 

Podczas ubiegłorocznej konferencji WWDC Apple ogłosiło wprowadzenie funkcji „Zaloguj się z Apple. Pozwala ona użytkownikowi zalogować się przy użyciu swojego identyfikatora Apple ID bez konieczności korzystania z konta w mediach społecznościowych, wypełniania formularzy czy weryfikowania adresu e-mail i wybierania nowego hasła. Jednakże w kwietniu  Bhaviuk Jain wykrył lukę 0-day, która mogła prowadzić do przejęcia konta osoby logującej się za pomocą Apple ID. Problem dotyczył aplikacji firm trzecich, które były zintegrowane z „Zaloguj się z Apple”, aczkolwiek nie posiadały własnych dodatkowych zabezpieczeń.

 

Funkcja „Zaloguj się z Apple” jest bardzo podobna do OAuth 2.0 i umożliwia uwierzytelnianie użytkownika na dwa sposoby: poprzez użycie JWT (JSON Web Token) lub kodu wygenerowanego na serwerze Apple. W czasie autoryzacji użytkownik może udostępnić identyfikator Apple ID aplikacji firm trzecich bądź nie zgodzić się na jego przekazanie. Jeśli identyfikator e-mail jest ukryty, Apple generuje token JWT zawierający informacje, która jest następnie wykorzystywana przez aplikację do uwierzytelnienia użytkownika.

 

Bhaviuk Jain zauważył, iż może zażądać od Apple tokenów uwierzytelniających dla każdego identyfikatora e-mail, które następnie zostają zweryfikowane przy użyciu klucza publicznego jako prawdziwe. Napastnik może zatem sfałszować token powiązany z dowolnym identyfikatorem e-mail i uzyskać za jego pomocą dostęp do konta ofiary.

 

  • Choć dla osób niewtajemniczonych cała operacja może wydawać się nie do końca zrozumiała,  luka wykryta przez Jaina była bardzo niebezpieczna, bowiem pozwalała przejąć pełną kontrolę nad kontami użytkowników. Warto dodać, że z opcją „Zaloguj się w Apple” zintegrowane są m.in  serwisy Spotify, Dropbox, Airbnb czy Giphy. Po drugie tak duży błąd powinien być wykryty przez developerów Apple. Fakt, że znajduje go osoba z zewnątrz nie wystawia najlepszego świadectwa producentowi, który niemal na każdym kroku podkreśla, że prywatność klientów jest jednym z jego priorytetów. - mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

 

Apple zapewnia, iż luka 0-day nigdy nie została wykorzystana, a błąd w usłudze „Zaloguj się z Apple” został usunięty.

 

Źródło: Bitdefender.pl; marken.com.pl

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.
Ostatnio dodane
komunikaty PR z wybranej przez Ciebie kategorii
IT i technologie AWS wprowadza asystenta spotkań na żywo opartego na sztucznej inteligencji Biuro prasowe
2024-05-17 | 09:00

AWS wprowadza asystenta spotkań na żywo opartego na sztucznej inteligencji

AWS (Amazon Web Services) ogłosił wprowadzenie Live Meeting Assistant (LMA) – opartego na sztucznej inteligencji (AI) asystenta spotkań na żywo i po nich, który uwalnia od
IT i technologie PREZENTACJA STRATEGII THORIUM SPACE
2024-05-16 | 10:30

PREZENTACJA STRATEGII THORIUM SPACE

UNLEASH SPACE CONNECTIVITY WITH THORIUM SPACE - PREZENTACJA OSIĄGNIĘĆ I STRATEGII SPÓŁKI Już 21 maja w gmachu Muzeum Wojska Polskiego na warszawskiej Cytadeli, odbędzie
IT i technologie Antonio La Rosa nowym B2B Sales Lead firmy Motorola na rynku EMEA
2024-05-16 | 10:00

Antonio La Rosa nowym B2B Sales Lead firmy Motorola na rynku EMEA

16 maja 2024 r. - Motorola ogłosiła, że Antonio La Rosa został mianowany na stanowisko B2B Sales Lead grupy MBG (Mobile Business Group) na region EMEA (Europa, Bliski Wschód oraz

Kalendarium

Więcej ważnych informacji

Fundusze Norweskie wspierają polskie firmy. Dzięki nim powstało już wiele innowacyjnych technologii
Fundusze Norweskie wspierają polskie firmy. Dzięki nim powstało już wiele innowacyjnych technologii 
Start-upy mogą się starać o wsparcie. Trwa nabór do programu rozwoju innowacyjnych pomysłów na biznes
Start-upy mogą się starać o wsparcie. Trwa nabór do programu rozwoju innowacyjnych pomysłów na biznes 
Szybki rozwój 5G w Orange Polska. Do końca roku operator uruchomi 3 tys. stacji dających dostęp do nowej technologii
Szybki rozwój 5G w Orange Polska. Do końca roku operator uruchomi 3 tys. stacji dających dostęp do nowej technologii 
Polskie aglomeracje stają się coraz bardziej cyfrowe. Skokowo wzrasta zużycie danych w sieci
Polskie aglomeracje stają się coraz bardziej cyfrowe. Skokowo wzrasta zużycie danych w sieci 
Przedsiębiorcy chcą mieć wszystkie produkty finansowe i biznesowe na jednej platformie. W takie rozwiązania inwestują banki i firmy leasingowe
Przedsiębiorcy chcą mieć wszystkie produkty finansowe i biznesowe na jednej platformie. W takie rozwiązania inwestują banki i firmy leasingowe 
Rewolucja w legislacji dotyczącej opakowań i powstających z nich odpadów. Działania firm wyprzedzają wymogi prawne
Rewolucja w legislacji dotyczącej opakowań i powstających z nich odpadów. Działania firm wyprzedzają wymogi prawne 

Jedynka Newserii

Start-upy mogą się starać o wsparcie. Trwa nabór do programu rozwoju innowacyjnych pomysłów na biznes
Start-upy mogą się starać o wsparcie. Trwa nabór do programu rozwoju innowacyjnych pomysłów na biznes 

Jedynka Newserii

Nieuczciwi najemcy bardziej chronieni przez prawo niż właściciele mieszkań. Konieczne są zmiany przepisów i sprawny system eksmisyjny
Nieuczciwi najemcy bardziej chronieni przez prawo niż właściciele mieszkań. Konieczne są zmiany przepisów i sprawny system eksmisyjny 

Regionalne

Start-upy mogą się starać o wsparcie. Trwa nabór do programu rozwoju innowacyjnych pomysłów na biznes

Trwa nabór do „Platform startowych dla nowych pomysłów” finansowany z Funduszy Europejskich dla Polski Wschodniej 2021–2027. Polska Agencja Rozwoju Przedsiębiorczości wybrała sześć partnerskich ośrodków innowacji, które będą oferować start-upom bezpłatne programy inkubacji. Platformy pomogą rozwinąć technologicznie produkt i zapewnić mu przewagę konkurencyjną, umożliwią dostęp do najlepszych menedżerów i rynkowych praktyków, ale też finansowanie innowacyjnych przedsięwzięć. Każdy z partnerów przyjmuje zgłoszenia ze wszystkich branż, ale także specjalizuje się w konkretnej dziedzinie. Jest więc oferta m.in. dla sektora motoryzacyjnego, rolno-spożywczego, metalowo-maszynowego czy sporttech.

Fundusze Norweskie wspierają polskie firmy. Dzięki nim powstało już wiele innowacyjnych technologii Programy mentoringowe pomagają start-upom pokonać początkowe bariery w działalności. PARP szuka operatorów mogących zapewnić innowatorom takie wsparcie Polskie firmy wdrażają innowacyjne rozwiązania związane z ponownym wykorzystaniem odpadów. Takie działania wciąż jednak wymagają promocji Polskie firmy zbyt wolno się cyfryzują. Wiele z nich wciąż nie zna korzyści, jakie płyną z tego procesu Małe i średnie firmy wciąż na początku drogi do zrównoważonego rozwoju. Napotykają znacznie więcej barier niż duże podmioty

Transport

Kolej pozostaje piętą achillesową polskich portów. Zarządy liczą na przyspieszenie inwestycji w tym obszarze

Nazywane polskim oknem na Skandynawię oraz będące ważnym węzłem logistycznym między południem i północą Europy Porty Szczecin–Świnoujście dynamicznie się rozwijają. W kwietniu 2024 roku wydano decyzję lokalizacyjną dotycząca terminalu kontenerowego w Świnoujściu, który ma szansę powstać do końca 2028 roku. Zdaniem ekspertów szczególnie ważnym elementem rozwoju portów, podobnie jak w przypadku innych portów w Polsce, jest transport kolejowy i w tym zakresie inwestycje są szczególnie potrzebne. – To nasza pięta achillesowa – przyznaje Rafał Zahorski, pełnomocnik zarządu Morskich Portów Szczecin i Świnoujście ds. rozwoju.

Polityka

Projekt UE zyskuje wymiar militarny. Wojna w Ukrainie na nowo rozbudziła dyskusję o wspólnej europejskiej armii

Wspólna europejska armia na razie nie istnieje, a w praktyce obronność to wyłączna odpowiedzialność państw członkowskich UE. Jednak wybuch wojny w Ukrainie, tuż za wschodnią granicą, na nowo rozbudził europejską dyskusję o potrzebie posiadania własnego potencjału militarnego. Jak niedawno wskazał wicepremier i minister obrony narodowej Władysław Kosiniak-Kamysz, Europa powinna mieć własne siły szybkiego reagowania i powołać komisarza ds. obronności, ponieważ stoi obecnie w obliczu największych wyzwań od czasu zakończenia II wojny światowej. – Musimy zdobyć własną siłę odstraszania i zwiększać wydatki na obronność – podkreśla europoseł Janusz Lewandowski.

Partner serwisu

Instytut Monitorowania Mediów

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.

© 2011 - 2023. NEWSERIA. Wszelkie prawa zastrzeżone. NEWSERIA jest znakiem chronionym w warstwie graficznej i słownej