Komunikaty PR

100 tysięcy dolarów dla programisty za wykrycie luki Apple

2020-06-02  |  01:00
Biuro prasowe

Bhaviuk Jain, specjalista bezpieczeństwa z Infosec, otrzymał 100 tysięcy dolarów od Apple za wykrycie luki, która umożliwiała ominięcie uwierzytelnień i przejęcie konta użytkownika.

 

 

Podczas ubiegłorocznej konferencji WWDC Apple ogłosiło wprowadzenie funkcji „Zaloguj się z Apple. Pozwala ona użytkownikowi zalogować się przy użyciu swojego identyfikatora Apple ID bez konieczności korzystania z konta w mediach społecznościowych, wypełniania formularzy czy weryfikowania adresu e-mail i wybierania nowego hasła. Jednakże w kwietniu  Bhaviuk Jain wykrył lukę 0-day, która mogła prowadzić do przejęcia konta osoby logującej się za pomocą Apple ID. Problem dotyczył aplikacji firm trzecich, które były zintegrowane z „Zaloguj się z Apple”, aczkolwiek nie posiadały własnych dodatkowych zabezpieczeń.

 

Funkcja „Zaloguj się z Apple” jest bardzo podobna do OAuth 2.0 i umożliwia uwierzytelnianie użytkownika na dwa sposoby: poprzez użycie JWT (JSON Web Token) lub kodu wygenerowanego na serwerze Apple. W czasie autoryzacji użytkownik może udostępnić identyfikator Apple ID aplikacji firm trzecich bądź nie zgodzić się na jego przekazanie. Jeśli identyfikator e-mail jest ukryty, Apple generuje token JWT zawierający informacje, która jest następnie wykorzystywana przez aplikację do uwierzytelnienia użytkownika.

 

Bhaviuk Jain zauważył, iż może zażądać od Apple tokenów uwierzytelniających dla każdego identyfikatora e-mail, które następnie zostają zweryfikowane przy użyciu klucza publicznego jako prawdziwe. Napastnik może zatem sfałszować token powiązany z dowolnym identyfikatorem e-mail i uzyskać za jego pomocą dostęp do konta ofiary.

 

  • Choć dla osób niewtajemniczonych cała operacja może wydawać się nie do końca zrozumiała,  luka wykryta przez Jaina była bardzo niebezpieczna, bowiem pozwalała przejąć pełną kontrolę nad kontami użytkowników. Warto dodać, że z opcją „Zaloguj się w Apple” zintegrowane są m.in  serwisy Spotify, Dropbox, Airbnb czy Giphy. Po drugie tak duży błąd powinien być wykryty przez developerów Apple. Fakt, że znajduje go osoba z zewnątrz nie wystawia najlepszego świadectwa producentowi, który niemal na każdym kroku podkreśla, że prywatność klientów jest jednym z jego priorytetów. - mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

 

Apple zapewnia, iż luka 0-day nigdy nie została wykorzystana, a błąd w usłudze „Zaloguj się z Apple” został usunięty.

 

Źródło: Bitdefender.pl; marken.com.pl

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.
Ostatnio dodane
komunikaty PR z wybranej przez Ciebie kategorii
IT i technologie Polski biznes nie jest przygotowany na cyberzagrożenia Biuro prasowe
2025-06-25 | 03:00

Polski biznes nie jest przygotowany na cyberzagrożenia

Wyciek danych, ataki przeciążające stronę (DDoS), złośliwe oprogramowanie, phishing. Dziś wojna w cyberprzestrzeni dotyczy nie tylko infrastruktury krytycznej czy wielkich
IT i technologie Cyberbezpieczeństwo dla firm – skuteczne rozwiązania iIT Distribution Polska
2025-06-04 | 15:30

Cyberbezpieczeństwo dla firm – skuteczne rozwiązania iIT Distribution Polska

Współczesne przedsiębiorstwa nie mogą pozwolić sobie na brak ochrony w świecie cyfrowym. Codziennie pojawiają się nowe zagrożenia: wycieki danych, ataki phishingowe,
IT i technologie Emitel Partnerem Technologicznym Impact’25
2025-05-13 | 14:45

Emitel Partnerem Technologicznym Impact’25

Emitel ponownie został Partnerem Technologicznym konferencji Impact’25 – jednego z najważniejszych wydarzeń poświęconych nowoczesnym technologiom, gospodarce

Więcej ważnych informacji

Firmy dzierżawiące grunty od Skarbu Państwa muszą zwrócić majątek rolny. Zagrożony jest też wspierany przez nich ośrodek rehabilitacyjny
Firmy dzierżawiące grunty od Skarbu Państwa muszą zwrócić majątek rolny. Zagrożony jest też wspierany przez nich ośrodek rehabilitacyjny 
Nestlé w Polsce podsumowuje wpływ na krajową gospodarkę. Firma wygenerowała 0,6 proc. polskiego PKB [DEPESZA]
Nestlé w Polsce podsumowuje wpływ na krajową gospodarkę. Firma wygenerowała 0,6 proc. polskiego PKB [DEPESZA]  
Nie tylko konsumenci starają się kupować bardziej odpowiedzialne. Część firm już stawia na to mocny nacisk
Nie tylko konsumenci starają się kupować bardziej odpowiedzialne. Część firm już stawia na to mocny nacisk 
Banki spółdzielcze coraz ważniejsze dla finansowania gospodarki. Współpraca z BGK ma pobudzić lokalne inwestycje
Banki spółdzielcze coraz ważniejsze dla finansowania gospodarki. Współpraca z BGK ma pobudzić lokalne inwestycje 
Konflikty i żywioły wpływają na wakacyjne plany Polaków. Bezpieczeństwo coraz ważniejsze przy wyborze letniej destynacji
Konflikty i żywioły wpływają na wakacyjne plany Polaków. Bezpieczeństwo coraz ważniejsze przy wyborze letniej destynacji 

Jedynka Newserii

Blockchain zmienia rynek pracy i edukacji. Poszukiwane są osoby posiadające wiedzę z różnych dziedzin
Blockchain zmienia rynek pracy i edukacji. Poszukiwane są osoby posiadające wiedzę z różnych dziedzin 

Jedynka Newserii

Dorota Gardias: Moja piosenka nagrana z Bartasem Szymoniakiem odniosła ogromny sukces. Wiążę z nią pewne plany
Dorota Gardias: Moja piosenka nagrana z Bartasem Szymoniakiem odniosła ogromny sukces. Wiążę z nią pewne plany 

Kongres Profesjonalistów Public Relations

Konsument

Grupa nowych biednych emerytów stale się powiększa. Ich świadczenie jest znacznie poniżej minimalnej emerytury

Przybywa osób, które z powodu zbyt krótkiego czasu opłacania składek pobierają emeryturę niższą od minimalnej. Tak zwanych nowych biednych emerytów jest w Polsce ok. 430 tys., a zdecydowaną większość grupy stanowią kobiety – wskazują badania ekspertów Instytutu Pracy i Spraw Socjalnych. W ich przypadku krótszy okres składkowy zwykle wynika z konieczności opieki nad dziećmi lub innymi osobami w rodzinie. Wśród innych powodów, wymienianych zarówno przez panie, jak i panów, są także praca za granicą lub na czarno oraz zły stan zdrowia.

Zdecydowane odbicie w liczbie ofert pracy dla programistów. Wynagrodzenia rosną, ale nie wrócą na dotychczasowe poziomy Kraje dotknięte powodzią z 2024 roku z dodatkowym wsparciem finansowym. Europosłowie wzywają do budowy w UE lepszego systemu reagowania na kryzysy Zwalczanie mobbingu wciąż bardzo trudne. Prawo jest nieprecyzyjne, a inspektorzy pracy nie mają wystarczających narzędzi Nieuczciwi najemcy bardziej chronieni przez prawo niż właściciele mieszkań. Konieczne są zmiany przepisów i sprawny system eksmisyjny Młodych coraz bardziej niepokoi katastrofa klimatyczna. To może wpływać na ich życiowe wybory

Media i PR

M. Wawrykiewicz (PO): Postępowanie z art. 7 przeciw Węgrom pokazało iluzoryczność tej sankcji. Unia wywiera naciski poprzez negocjacje nowego budżetu

Przykład Węgier pokazał, że procedura z artykułu 7 traktatu o UE o łamanie praworządności nie ma mocy prawnej z powodu braku większości, nie mówiąc o jednomyślności wśród pozostałych państw członkowskich. Negocjacje nowego budżetu UE to dobry pretekst do zmiany sposobu części finansowania z pominięciem rządu centralnego. Czerwcowy marsz Pride w Budapeszcie pokazał, że część społeczeństwa, głównie stolica, jest przeciwna rządom Viktora Orbána, ale i na prowincji świadomość konsekwencji działań Fideszu staje się coraz większa przed przyszłorocznymi wyborami.

Firma

Blockchain zmienia rynek pracy i edukacji. Poszukiwane są osoby posiadające wiedzę z różnych dziedzin

Zapotrzebowanie na specjalistów od technologii blockchain dynamicznie rośnie – nie tylko w obszarze IT, ale również w administracji, finansach czy logistyce. Coraz więcej uczelni wprowadza programy związane z rozproszonymi rejestrami, które wyposażają studentów w umiejętności odpowiadające wymogom rynku.

Partner serwisu

Instytut Monitorowania Mediów

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.

© 2011 - 2025. NEWSERIA. Wszelkie prawa zastrzeżone. NEWSERIA jest znakiem chronionym w warstwie graficznej i słownej