Komunikaty PR

100 tysięcy dolarów dla programisty za wykrycie luki Apple

2020-06-02  |  01:00
Biuro prasowe

Bhaviuk Jain, specjalista bezpieczeństwa z Infosec, otrzymał 100 tysięcy dolarów od Apple za wykrycie luki, która umożliwiała ominięcie uwierzytelnień i przejęcie konta użytkownika.

 

 

Podczas ubiegłorocznej konferencji WWDC Apple ogłosiło wprowadzenie funkcji „Zaloguj się z Apple. Pozwala ona użytkownikowi zalogować się przy użyciu swojego identyfikatora Apple ID bez konieczności korzystania z konta w mediach społecznościowych, wypełniania formularzy czy weryfikowania adresu e-mail i wybierania nowego hasła. Jednakże w kwietniu  Bhaviuk Jain wykrył lukę 0-day, która mogła prowadzić do przejęcia konta osoby logującej się za pomocą Apple ID. Problem dotyczył aplikacji firm trzecich, które były zintegrowane z „Zaloguj się z Apple”, aczkolwiek nie posiadały własnych dodatkowych zabezpieczeń.

 

Funkcja „Zaloguj się z Apple” jest bardzo podobna do OAuth 2.0 i umożliwia uwierzytelnianie użytkownika na dwa sposoby: poprzez użycie JWT (JSON Web Token) lub kodu wygenerowanego na serwerze Apple. W czasie autoryzacji użytkownik może udostępnić identyfikator Apple ID aplikacji firm trzecich bądź nie zgodzić się na jego przekazanie. Jeśli identyfikator e-mail jest ukryty, Apple generuje token JWT zawierający informacje, która jest następnie wykorzystywana przez aplikację do uwierzytelnienia użytkownika.

 

Bhaviuk Jain zauważył, iż może zażądać od Apple tokenów uwierzytelniających dla każdego identyfikatora e-mail, które następnie zostają zweryfikowane przy użyciu klucza publicznego jako prawdziwe. Napastnik może zatem sfałszować token powiązany z dowolnym identyfikatorem e-mail i uzyskać za jego pomocą dostęp do konta ofiary.

 

  • Choć dla osób niewtajemniczonych cała operacja może wydawać się nie do końca zrozumiała,  luka wykryta przez Jaina była bardzo niebezpieczna, bowiem pozwalała przejąć pełną kontrolę nad kontami użytkowników. Warto dodać, że z opcją „Zaloguj się w Apple” zintegrowane są m.in  serwisy Spotify, Dropbox, Airbnb czy Giphy. Po drugie tak duży błąd powinien być wykryty przez developerów Apple. Fakt, że znajduje go osoba z zewnątrz nie wystawia najlepszego świadectwa producentowi, który niemal na każdym kroku podkreśla, że prywatność klientów jest jednym z jego priorytetów. - mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

 

Apple zapewnia, iż luka 0-day nigdy nie została wykorzystana, a błąd w usłudze „Zaloguj się z Apple” został usunięty.

 

Źródło: Bitdefender.pl; marken.com.pl

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.
Ostatnio dodane
komunikaty PR z wybranej przez Ciebie kategorii
IT i technologie Polski biznes nie jest przygotowany na cyberzagrożenia Biuro prasowe
2025-06-25 | 03:00

Polski biznes nie jest przygotowany na cyberzagrożenia

Wyciek danych, ataki przeciążające stronę (DDoS), złośliwe oprogramowanie, phishing. Dziś wojna w cyberprzestrzeni dotyczy nie tylko infrastruktury krytycznej czy wielkich
IT i technologie Cyberbezpieczeństwo dla firm – skuteczne rozwiązania iIT Distribution Polska
2025-06-04 | 15:30

Cyberbezpieczeństwo dla firm – skuteczne rozwiązania iIT Distribution Polska

Współczesne przedsiębiorstwa nie mogą pozwolić sobie na brak ochrony w świecie cyfrowym. Codziennie pojawiają się nowe zagrożenia: wycieki danych, ataki phishingowe,
IT i technologie Emitel Partnerem Technologicznym Impact’25
2025-05-13 | 14:45

Emitel Partnerem Technologicznym Impact’25

Emitel ponownie został Partnerem Technologicznym konferencji Impact’25 – jednego z najważniejszych wydarzeń poświęconych nowoczesnym technologiom, gospodarce

Więcej ważnych informacji

Od lipca ułatwienia w dostępie do terapii dla osób z przewlekłą chorobą nerek. Eksperci apelują o włączenie dietetyków w proces leczenia
Od lipca ułatwienia w dostępie do terapii dla osób z przewlekłą chorobą nerek. Eksperci apelują o włączenie dietetyków w proces leczenia 
Po latach spadków szara strefa tytoniowa w Polsce rośnie. Radykalne podwyżki akcyzy mogą przyspieszyć wzrost nielegalnego rynku
Po latach spadków szara strefa tytoniowa w Polsce rośnie. Radykalne podwyżki akcyzy mogą przyspieszyć wzrost nielegalnego rynku 
Rynek gier mobilnych w Polsce może być wart prawie 0,5 mld dol. do 2030 roku. Za tym idzie rozwój smartfonów dla graczy
Rynek gier mobilnych w Polsce może być wart prawie 0,5 mld dol. do 2030 roku. Za tym idzie rozwój smartfonów dla graczy 
Część środków z Planu Społeczno-Klimatycznego trafi na walkę z ubóstwem transportowym. Organizacje branżowe apelują o zmianę priorytetowych projektów [DEPESZA]
Część środków z Planu Społeczno-Klimatycznego trafi na walkę z ubóstwem transportowym. Organizacje branżowe apelują o zmianę priorytetowych projektów [DEPESZA] 
Proces deregulacji nie dotyczy branży tytoniowej. Jest propozycja kolejnej ustawy w ciągu kilku miesięcy
Proces deregulacji nie dotyczy branży tytoniowej. Jest propozycja kolejnej ustawy w ciągu kilku miesięcy 

Jedynka Newserii

Polskie MŚP otrzymają większe wsparcie w ekspansji międzynarodowej. To cel nowej inicjatywy sześciu instytucji
Polskie MŚP otrzymają większe wsparcie w ekspansji międzynarodowej. To cel nowej inicjatywy sześciu instytucji 

Jedynka Newserii

Anna Dec: Klimat się zmienia i w tym roku wybitnie to widać. Musimy być przygotowani na różne warunki pogodowe na wakacjach
Anna Dec: Klimat się zmienia i w tym roku wybitnie to widać. Musimy być przygotowani na różne warunki pogodowe na wakacjach 

Kongres Profesjonalistów Public Relations

Handel

Polskie MŚP otrzymają większe wsparcie w ekspansji międzynarodowej. To cel nowej inicjatywy sześciu instytucji

Firmy z sektora małych i średnich przedsiębiorstw otrzymają kompleksowe wsparcie na potrzeby zwiększania konkurencyjności na arenie międzynarodowej. Taki jest cel wspólnej inicjatywy instytucji zrzeszonych w Grupie PFR pod szyldem Team Poland. Obejmuje ona zarówno wsparcie kapitałowe, w postaci gwarancji, pożyczek czy ubezpieczenia, jak i doradztwo oraz wsparcie promocyjne i informacyjne, dzięki czemu mikro-, małym i średnim firmom łatwiej będzie podjąć decyzję o ekspansji zagranicznej. Pierwszy projekt dotyczy wsparcia dla firm zainteresowanych uczestnictwem w odbudowie Ukrainy.

Firmy czekają na ostateczne przepisy dotyczące Krajowego Systemu e-Faktur. Mają być gotowe w wakacje Firmy będą mogły przetestować krótszy tydzień pracy z rządowym wsparciem. Nabór wniosków ruszy w sierpniu Polskie przedsiębiorstwa otwarte na transformację w kierunku gospodarki obiegu zamkniętego. Nowa mapa drogowa mogłaby w tym pomóc Polska przeciwna przedłużeniu umowy UE–Ukraina o transporcie drogowym. Uderza ona w krajową branżę transportową Przedsiębiorcom coraz bardziej doskwiera niestabilność i skomplikowanie przepisów podatkowych. Problemem są też niejasne ich interpretacje

Bankowość

RPP zgodna co do potrzeby obniżania stóp procentowych. Trwają dyskusje dotyczące tempa tych decyzji

W lipcu Rada Polityki Pieniężnej po raz drugi w tym roku obniżyła stopy procentowe, określając swój ruch mianem dostosowania. W kolejnych miesiącach można oczekiwać kolejnych obniżek, ale ich tempo i termin będą zależeć od efektów dotychczasowych decyzji i wzrostu płac. Docelowo główna stopa procentowa ma wynosić 3,5 proc. Te okoliczności sprzyjają kredytobiorcom.

Handel

Umowa z krajami Mercosur coraz bliżej. W. Buda: Polska nie wykorzystała swojej prezydencji do jej zablokowania

– Polska podczas prezydencji w Radzie UE nie wykorzystała szansy na obronę swoich interesów w sprawie umowy z krajami Mercosur – ocenia europoseł PiS Waldemar Buda. W jego ocenie polski rząd, mimo sprzeciwu wobec zapisów umowy, nie zbudował w UE sojuszy niezbędnych do jej odrzucenia. Porozumienie o wolnym handlu spotyka się przede wszystkim z protestami europejskich rolników, którzy obawiają się zalania wspólnego rynku tańszą żywnością z krajów Ameryki Południowej. Według europosła wszystko może się rozegrać w najbliższych tygodniach.

Partner serwisu

Instytut Monitorowania Mediów

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.

© 2011 - 2025. NEWSERIA. Wszelkie prawa zastrzeżone. NEWSERIA jest znakiem chronionym w warstwie graficznej i słownej