Apple выплатила эксперту $100 тысяч за нелепую ошибку
Индийский эксперт по кибербезопасности получил вознаграждение от Apple за обнаруженную ошибку в опции "Вход с Apple".
Пользователи устройств Apple использовали опцию "безопасной" авторизации для входа в сервисы и сторонние приложения. Оказалось, что данная функция обладала брешью в коде, благодаря которой злоумышленники могли получить доступ ко всем личным данным владельца смартфонов или макбуков.
Опция "Вход с Apple" работала по принципу авторизации со скрытым адресом электронной почты, что якобы должно было обеспечить конфиденциальность пользователя. При этом, при входе в приложения или на сомнительные сайты, генерировался особый шифр — веб-токен, который хранил в себе конфиденциальную информацию. Мошенники могли с легкостью подделать токен JWT.
"Подобные манипуляции позволяют киберпреступникам получить почти неограниченный доступ к аккаунтам пользователя в различных приложениях или интернет-ресурсах," — объяснили на портале "Актуальные новости".
После того, как эксперт Бхавук Джайн сообщил в компанию о найденной ошибке, сотрудники Apple устранили уязвимость. Сейчас опция "Вход с Apple" полностью соответствует требованиям кибербезопасности.