Komunikaty PR

100 tysięcy dolarów dla programisty za wykrycie luki Apple

2020-06-02  |  01:00
Biuro prasowe

Bhaviuk Jain, specjalista bezpieczeństwa z Infosec, otrzymał 100 tysięcy dolarów od Apple za wykrycie luki, która umożliwiała ominięcie uwierzytelnień i przejęcie konta użytkownika.

 

 

Podczas ubiegłorocznej konferencji WWDC Apple ogłosiło wprowadzenie funkcji „Zaloguj się z Apple. Pozwala ona użytkownikowi zalogować się przy użyciu swojego identyfikatora Apple ID bez konieczności korzystania z konta w mediach społecznościowych, wypełniania formularzy czy weryfikowania adresu e-mail i wybierania nowego hasła. Jednakże w kwietniu  Bhaviuk Jain wykrył lukę 0-day, która mogła prowadzić do przejęcia konta osoby logującej się za pomocą Apple ID. Problem dotyczył aplikacji firm trzecich, które były zintegrowane z „Zaloguj się z Apple”, aczkolwiek nie posiadały własnych dodatkowych zabezpieczeń.

 

Funkcja „Zaloguj się z Apple” jest bardzo podobna do OAuth 2.0 i umożliwia uwierzytelnianie użytkownika na dwa sposoby: poprzez użycie JWT (JSON Web Token) lub kodu wygenerowanego na serwerze Apple. W czasie autoryzacji użytkownik może udostępnić identyfikator Apple ID aplikacji firm trzecich bądź nie zgodzić się na jego przekazanie. Jeśli identyfikator e-mail jest ukryty, Apple generuje token JWT zawierający informacje, która jest następnie wykorzystywana przez aplikację do uwierzytelnienia użytkownika.

 

Bhaviuk Jain zauważył, iż może zażądać od Apple tokenów uwierzytelniających dla każdego identyfikatora e-mail, które następnie zostają zweryfikowane przy użyciu klucza publicznego jako prawdziwe. Napastnik może zatem sfałszować token powiązany z dowolnym identyfikatorem e-mail i uzyskać za jego pomocą dostęp do konta ofiary.

 

  • Choć dla osób niewtajemniczonych cała operacja może wydawać się nie do końca zrozumiała,  luka wykryta przez Jaina była bardzo niebezpieczna, bowiem pozwalała przejąć pełną kontrolę nad kontami użytkowników. Warto dodać, że z opcją „Zaloguj się w Apple” zintegrowane są m.in  serwisy Spotify, Dropbox, Airbnb czy Giphy. Po drugie tak duży błąd powinien być wykryty przez developerów Apple. Fakt, że znajduje go osoba z zewnątrz nie wystawia najlepszego świadectwa producentowi, który niemal na każdym kroku podkreśla, że prywatność klientów jest jednym z jego priorytetów. - mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

 

Apple zapewnia, iż luka 0-day nigdy nie została wykorzystana, a błąd w usłudze „Zaloguj się z Apple” został usunięty.

 

Źródło: Bitdefender.pl; marken.com.pl

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.
Ostatnio dodane
komunikaty PR z wybranej przez Ciebie kategorii
IT i technologie Polki najbardziej przedsiębiorczymi kobietami w Unii Europejskiej. Jak w biznesie może pomóc im AI? Biuro prasowe
2025-04-29 | 10:00

Polki najbardziej przedsiębiorczymi kobietami w Unii Europejskiej. Jak w biznesie może pomóc im AI?

Udział kobiet na stanowiskach kierowniczych w Polsce wynosi 43 % i jest to drugi najwyższy wynik w Europie (wyżej jest jedynie Łotwa – 46%).* Polki od lat udowadniają,
IT i technologie Nowa motorola edge 60 fusion już w Polsce
2025-04-02 | 10:40

Nowa motorola edge 60 fusion już w Polsce

W Polsce zadebiutowała motorola edge 60 fusion – pierwszy tegoroczny model z rodziny edge. Łączy cechy smartfona klasy premium z wysoką odpornością, potwierdzoną
IT i technologie Emitel i Miasto Poznań zacieśniają współpracę na rzecz innowacji w Wielkopolsce
2025-03-18 | 10:00

Emitel i Miasto Poznań zacieśniają współpracę na rzecz innowacji w Wielkopolsce

Emitel S.A. intensyfikuje swoją działalność w Wielkopolsce. Spółka kontynuuje rozwój projektów na terenie całego kraju. Wśród ogólnopolskich,

Kalendarium

Więcej ważnych informacji

Coraz więcej Polaków widzi korzyści płynące z obecności w UE. Co ósmy wciąż jednak nie potrafi ich wskazać
Coraz więcej Polaków widzi korzyści płynące z obecności w UE. Co ósmy wciąż jednak nie potrafi ich wskazać 
Możliwość zakupu online może zachęcić kolejne grupy Polaków do ubezpieczeń zdrowotnych. Dziś korzysta z nich już prawie 5,5 mln osób
Możliwość zakupu online może zachęcić kolejne grupy Polaków do ubezpieczeń zdrowotnych. Dziś korzysta z nich już prawie 5,5 mln osób 
Poziom wyszczepienia Ukraińców jest o 20 pp. niższy niż Polaków. Ukraińskie mamy w Polsce wskazują na szereg barier
Poziom wyszczepienia Ukraińców jest o 20 pp. niższy niż Polaków. Ukraińskie mamy w Polsce wskazują na szereg barier 
Rynek saszetek nikotynowych w Polsce będzie uregulowany. Osoby nieletnie nie będą mogły ich kupić
Rynek saszetek nikotynowych w Polsce będzie uregulowany. Osoby nieletnie nie będą mogły ich kupić 
Konkurs NCBR i Orlenu ma wesprzeć najciekawsze rozwiązania dla przemysłu rafineryjno-petrochemicznego. Na ich rozwój trafi blisko 200 mln zł
Konkurs NCBR i Orlenu ma wesprzeć najciekawsze rozwiązania dla przemysłu rafineryjno-petrochemicznego. Na ich rozwój trafi blisko 200 mln zł 

Jedynka Newserii

Zmiany w obowiązku magazynowania gazu mogą obniżyć ceny surowca. To pomoże się przygotować do sezonu zimowego
Zmiany w obowiązku magazynowania gazu mogą obniżyć ceny surowca. To pomoże się przygotować do sezonu zimowego  

Jedynka Newserii

Klaudia Zioberczyk: Doszłam już do takiego momentu, że jak wchodzę do sklepu, to mówię: wcale tego nie potrzebuję. Teraz stawiam na jakość, a nie na ilość
Klaudia Zioberczyk: Doszłam już do takiego momentu, że jak wchodzę do sklepu, to mówię: wcale tego nie potrzebuję. Teraz stawiam na jakość, a nie na ilość 

Edukacja

Coraz więcej Polaków widzi korzyści płynące z obecności w UE. Co ósmy wciąż jednak nie potrafi ich wskazać

Członkostwo w UE cieszy się wśród Europejczyków rekordowo wysokim poparciem – wynika z tegorocznego Eurobarometru. Korzyści dla swojego kraju dostrzega 74 proc. obywateli Unii – to odsetek najlepszy od początku badań w 1983 roku. A w Polsce jest on jeszcze wyższy. Doceniamy przede wszystkim wkład UE w bezpieczeństwo, nowe możliwości zawodowe i rozwój gospodarczy kraju. Po 21 latach naszej obecności w UE wciąż jednak potrzebna jest europejska edukacja.

PE przedstawił swoje priorytety budżetowe po 2027 roku. Wydatki na obronność kluczowe, ale nie kosztem polityki spójności J. Scheuring-Wielgus: Napięcia geopolityczne wymagają silniejszego zjednoczenia państw Europy. To lekcja z II wojny światowej Prace nad unijnym budżetem po 2027 roku nabierają tempa. Projekt ma być gotowy w lipcu PE pracuje nad zmianą rozliczania redukcji emisji CO2 dla nowych aut. Producenci mogą uniknąć wysokich kar Kwestie bezpieczeństwa priorytetem UE. Polska prezydencja ma w tym swój udział

Polityka

Zmiany w obowiązku magazynowania gazu mogą obniżyć ceny surowca. To pomoże się przygotować do sezonu zimowego

Elastyczność bez zagrożenia dla bezpieczeństwa energetycznego – tak nową propozycję przepisów dotyczących uzupełniania zapasów gazu przed sezonem zimowym określają jej inicjatorzy z Parlamentu Europejskiego. Europosłowie proponują nieznaczne zmniejszenie wymaganego poziomu zapełnienia magazynów i rozciągnięcie w czasie terminu, w którym trzeba spełnić ten obowiązek. Jak podkreśla Borys Budka, ma to zapobiec spekulacjom na rynku gazu i tym samym pomóc obniżyć ceny surowca.

Konsument

Możliwość zakupu online może zachęcić kolejne grupy Polaków do ubezpieczeń zdrowotnych. Dziś korzysta z nich już prawie 5,5 mln osób

Polska jest jednym z liderów Europy w obszarze cyfryzacji sektora usług medycznych. Świadczą o tym m.in. popularność elektronicznych narzędzi zapewniających dostęp do danych zdrowotnych, e-recept czy wirtualna diagnostyka. Polacy są też otwarci na innowacje w zakresie ubezpieczeń zdrowotnych, z których korzysta już blisko 5,5 mln osób. Za pomocą nowej cyfrowej platformy Medicover chce zachęcić klientów do samodzielnej konfiguracji i zakupu polis online.

Partner serwisu

Instytut Monitorowania Mediów

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.

© 2011 - 2025. NEWSERIA. Wszelkie prawa zastrzeżone. NEWSERIA jest znakiem chronionym w warstwie graficznej i słownej