Komunikaty PR

100 tysięcy dolarów dla programisty za wykrycie luki Apple

2020-06-02  |  01:00
Biuro prasowe

Bhaviuk Jain, specjalista bezpieczeństwa z Infosec, otrzymał 100 tysięcy dolarów od Apple za wykrycie luki, która umożliwiała ominięcie uwierzytelnień i przejęcie konta użytkownika.

 

 

Podczas ubiegłorocznej konferencji WWDC Apple ogłosiło wprowadzenie funkcji „Zaloguj się z Apple. Pozwala ona użytkownikowi zalogować się przy użyciu swojego identyfikatora Apple ID bez konieczności korzystania z konta w mediach społecznościowych, wypełniania formularzy czy weryfikowania adresu e-mail i wybierania nowego hasła. Jednakże w kwietniu  Bhaviuk Jain wykrył lukę 0-day, która mogła prowadzić do przejęcia konta osoby logującej się za pomocą Apple ID. Problem dotyczył aplikacji firm trzecich, które były zintegrowane z „Zaloguj się z Apple”, aczkolwiek nie posiadały własnych dodatkowych zabezpieczeń.

 

Funkcja „Zaloguj się z Apple” jest bardzo podobna do OAuth 2.0 i umożliwia uwierzytelnianie użytkownika na dwa sposoby: poprzez użycie JWT (JSON Web Token) lub kodu wygenerowanego na serwerze Apple. W czasie autoryzacji użytkownik może udostępnić identyfikator Apple ID aplikacji firm trzecich bądź nie zgodzić się na jego przekazanie. Jeśli identyfikator e-mail jest ukryty, Apple generuje token JWT zawierający informacje, która jest następnie wykorzystywana przez aplikację do uwierzytelnienia użytkownika.

 

Bhaviuk Jain zauważył, iż może zażądać od Apple tokenów uwierzytelniających dla każdego identyfikatora e-mail, które następnie zostają zweryfikowane przy użyciu klucza publicznego jako prawdziwe. Napastnik może zatem sfałszować token powiązany z dowolnym identyfikatorem e-mail i uzyskać za jego pomocą dostęp do konta ofiary.

 

  • Choć dla osób niewtajemniczonych cała operacja może wydawać się nie do końca zrozumiała,  luka wykryta przez Jaina była bardzo niebezpieczna, bowiem pozwalała przejąć pełną kontrolę nad kontami użytkowników. Warto dodać, że z opcją „Zaloguj się w Apple” zintegrowane są m.in  serwisy Spotify, Dropbox, Airbnb czy Giphy. Po drugie tak duży błąd powinien być wykryty przez developerów Apple. Fakt, że znajduje go osoba z zewnątrz nie wystawia najlepszego świadectwa producentowi, który niemal na każdym kroku podkreśla, że prywatność klientów jest jednym z jego priorytetów. - mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

 

Apple zapewnia, iż luka 0-day nigdy nie została wykorzystana, a błąd w usłudze „Zaloguj się z Apple” został usunięty.

 

Źródło: Bitdefender.pl; marken.com.pl

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.
Ostatnio dodane
komunikaty PR z wybranej przez Ciebie kategorii
IT i technologie Generatywna sztuczna inteligencja m.in. w opinii Polaków to zrządzenie losu Biuro prasowe
2024-07-17 | 08:00

Generatywna sztuczna inteligencja m.in. w opinii Polaków to zrządzenie losu

Podczas gdy eksperci przewidują znaczące pozytywne skutki gospodarcze rozwoju sztucznej inteligencji generatywnej, nastroje społeczne nie są tak optymistyczne. Allianz Trade przedstawia wyniki
IT i technologie Lena Lighting partnerem oprogramowania DIALux
2024-07-17 | 01:00

Lena Lighting partnerem oprogramowania DIALux

DIALux jest nowoczesnym narzędziem, pozwalającym na projektowanie oświetlenia. To najchętniej wybierane oprogramowanie, umożliwiające zarówno rozlokowanie pojedynczych opraw, jak i
IT i technologie Długoterminowa umowa TomTom i Microsoft
2024-07-16 | 07:50

Długoterminowa umowa TomTom i Microsoft

TomTom (TOM2), specjalista w dziedzinie technologii geolokalizacji, ogłosił, że umacnia i rozszerza swoją współpracę z firmą Microsoft. Mapy i dane o ruchu drogowym TomTom będą

Kalendarium

Więcej ważnych informacji

Branża tytoniowa alarmuje o drastycznych podwyżkach akcyzy. Są kilkukrotnie wyższe od zaplanowanych do 2027 roku
Branża tytoniowa alarmuje o drastycznych podwyżkach akcyzy. Są kilkukrotnie wyższe od zaplanowanych do 2027 roku 
Kwestie środowiskowe stają się coraz ważniejsze dla firm. Wciąż niewiele z nich liczy jednak swój ślad węglowy
Kwestie środowiskowe stają się coraz ważniejsze dla firm. Wciąż niewiele z nich liczy jednak swój ślad węglowy 
Komornicy sądowi jako pierwsi wprowadzają system e-Doręczeń. Docelowo dostęp do wszystkich postępowań komorniczych ma być cyfrowy
Komornicy sądowi jako pierwsi wprowadzają system e-Doręczeń. Docelowo dostęp do wszystkich postępowań komorniczych ma być cyfrowy 
Farmaceuci z coraz większą rolą w opiece zdrowotnej. Apteki zasilają budżet olbrzymią kwotą [DEPESZA]
Farmaceuci z coraz większą rolą w opiece zdrowotnej. Apteki zasilają budżet olbrzymią kwotą [DEPESZA] 
Świadomość społeczna na temat ryzyka publikowania wizerunków dzieci w internecie nadal bardzo niska. UODO apeluje o ostrożność
Świadomość społeczna na temat ryzyka publikowania wizerunków dzieci w internecie nadal bardzo niska. UODO apeluje o ostrożność 

Konkurs Polskie Branży PR

Jedynka Newserii

Większość małych i średnich firm przez całą swoją działalność nie zmienia banku. Wysoko oceniają dostępność do usług bankowych
Większość małych i średnich firm przez całą swoją działalność nie zmienia banku. Wysoko oceniają dostępność do usług bankowych 

Jedynka Newserii

Sebastian Wątroba: Uwielbiamy wakacje nad Bałtykiem. Aby spędzić je pod palmami, wcale nie musimy wyjeżdżać do ciepłych krajów, wystarczy przyjechać do Międzyzdrojów
Sebastian Wątroba: Uwielbiamy wakacje nad Bałtykiem. Aby spędzić je pod palmami, wcale nie musimy wyjeżdżać do ciepłych krajów, wystarczy przyjechać do Międzyzdrojów  

Handel

Branża tytoniowa alarmuje o drastycznych podwyżkach akcyzy. Są kilkukrotnie wyższe od zaplanowanych do 2027 roku

Ministerstwo Finansów chce wprowadzić drastyczne podwyżki akcyzy na wyroby tytoniowe. Ich skala ma być kilkukrotnie większa, niż zakładała obowiązująca od 2022 roku mapa akcyzowa, czyli porozumienie wypracowane po długich konsultacjach z rynkiem. Już w przyszłym roku akcyza na wyroby tytoniowe, zamiast o pierwotnie zakładane 10 proc. na wszystkie kategorie wyrobów, ma wzrosnąć: o 25 proc. na papierosy, o 38 proc. na tytoń do palenia oraz o 50 proc. na wkłady do podgrzewaczy tytoniu. Nowością jest objęcie podwyżkami również płynów do e-papierosów, na które w 2025 roku akcyza wzrośnie o 75 proc.

Ministerstwo Zdrowia chce zakazać sprzedaży mentolowych wkładów do podgrzewaczy tytoniu. Według ekspertów doprowadzi to do wzrostu szarej strefy Całkowity zakaz sprzedaży e-papierosów jednorazowych może mieć skutek odwrotny do zamierzonego. Konsekwencje będą zarówno ekonomiczne, jak i zdrowotne Jeden z największych koncernów tytoniowych zwiększa inwestycje w Polsce do 1,3 mld dol. Rozwinie fabrykę nowatorskich wyrobów tytoniowych koło Łodzi Philip Morris zainwestuje w Polsce ponad miliard złotych. W krakowskiej fabryce firmy ruszy produkcja wkładów tytoniowych do podgrzewania Szara strefa na rynku tytoniowym jest rekordowo niska. Mimo ciągłego wzrostu akcyzy

Bankowość

Większość małych i średnich firm przez całą swoją działalność nie zmienia banku. Wysoko oceniają dostępność do usług bankowych

Mikro-, małe i średnie firmy są surowymi recenzentami usług bankowych, ale mimo to ich ocena pozostaje dość wysoka – mówi Wojciech Terlikowski z CBM Indicator. Kredyt bankowy jest drugim – po środkach własnych – najpopularniejszym źródłem finansowania działalności MŚP, ale firmy chętnie korzystają również z kredytów inwestycyjnych czy kart kredytowych. Są zainteresowane także dodatkowymi usługami ze strony banków, np. doradztwem przy pozyskiwaniu środków UE. Ekspert wskazuje, że to przekłada się na lojalność klientów – przedsiębiorcy przywiązują się do banków i rzadko je zmieniają.

Przemysł

W Polsce rośnie tempo robotyzacji. Pod względem zaangażowania robotów w przemyśle przegrywa wyścig z innymi krajami regionu

Z niemal 18 tys. robotów zainstalowanych w sektorze przetwórstwa przemysłowego Polska znajduje się na szóstym miejscu w UE. Jednak na 10 tys. pracowników zatrudnionych w tej branży przypada 54,6 robota, znacznie mniej niż nie tylko na Zachodzie, ale i w krajach Grupy Wyszehradzkiej. Jednocześnie 76 proc. przedsiębiorców badanych przez Polski Instytut Ekonomiczny zgadza się, że robotyzacja i automatyzacja będzie coraz bardziej stanowiła o przewadze konkurencyjnej firm na rynku.

Partner serwisu

Instytut Monitorowania Mediów

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.

© 2011 - 2023. NEWSERIA. Wszelkie prawa zastrzeżone. NEWSERIA jest znakiem chronionym w warstwie graficznej i słownej