Ovoga je travnja indijski developer Bhavuk Jain otkrio velik sigurnosni propust u procesu provjere autentičnosti korisnika koji su se na vanjske servise prijavljivali svojim korisničkim računom otvorenim kod Applea.
Propust u procesu Sign In With Apple omogućavao je napadaču upad u račune korisnika sa svojom e-mail adresom, jer je Appleov sustav greškom mogao protumačiti bilo koju adresu kao autentičnu. Jain je pronađenu ranjivost prijavio kompaniji, a ovi su je zakrpali i pristojno ga nagradili.
U sklopu Appleovog bug bounty programa 27-godišnji je developer iz Delhija dobio čak 100.000 dolara nagrade, a na svojem je blogu prije nekoliko dana objavio i sve detalje svojeg otkrića. Do primjene zakrpe, poručili su iz Applea, nije bilo primijećeno da je itko pokušao ili uspio iskoristiti ovaj zero day propust. Istraga je pokazala da propust nije doveo do kompromitiranja niti jednog korisničkog računa, piše Bug.hr.
Funkcija Sign In With Apple predstavljena je na lanjskom WWDC-u kao dodatni način prijave na servise bez odavanja svoje a-mail adrese, samo klikanjem na jednu ikonu koja bi odrađivala provjeru korisnika putem sustava Apple ID.
Pretpostavlja se da je ovaj propust mogao dovesti do preuzimanja kontrole nad tuđim računima na servisima Dropbox, Spotify, Airbnb ili drugima koji omogućavaju prijavu putem Appleove provjere identiteta.
(www.jabuka.tv)
