Bag u opciji ''Prijava sa Appleom'' omogućava hakovanje naloga u aplikacijama i na veb sajtovima

Vesti, 01.06.2020, 10:00 AM

Bag u opciji ''Prijava sa Appleom'' omogućava hakovanje naloga u aplikacijama i na veb sajtovima

Vaša email adresa hakeru može biti dovoljna da preuzme vaš nalog na omiljenom veb sajtu ili u aplikaciji. Sve što napadač treba da uradi je da iskoristi bag u opciji “Prijava sa Appleom”.

Indijskom istraživaču Bhavuku Jainu Apple je nedavno platio 100.000 dolara zato što je otkrio i kompaniji prijavio ranjivost u mehanizmu „Prijava sa Appleom“.

Jain je u aprilu otkrio do tada nepoznati 0-day bag u “Prijava sa Appleom”, koji utiče na aplikacije koje koriste ovaj sistem a koje nisu sprovele svoje dodatne mere za zaštitu korisnika. Bag se mogao zloupotrebiti za potpuno preuzimanje korisničkog naloga u aplikaciji drugog proizvođača, bez obzira na to da li žrtva ima validan Apple ID ili ne.

Funkcija „Prijava sa Appleom“ je predstavljena prošle godine na Appleovoj WWDC konferenciji kao mehanizam za prijavu koji čuva privatnost i koji omogućava korisnicima da registruju nalog bez otkrivanja email adrese.

Bhavuk Jain je objasnio da je ranjivost koju je otkrio u načinu na koji je Apple potvrđivao identitet korisnika na strani klijenta pre nego što bi se pokrenuo zahtev sa Appleovih servera za proveru identiteta.

Dok se vrši provera korisnika preko „Prijave sa Appleom“, server generiše JSON Web Token (JWT) koji sadrži tajne informacije koje aplikacija koristi za potvrdu identiteta korisnika koji se prijavljuje.

Bhavuk je otkrio da iako Apple traži od korisnika da se prijave na svoj Apple nalog pre iniciranja zahteva, ne proverava da li ista osoba zahteva JSON Web Token (JWT) u sledećem koraku sa Appleovog servera.

Prema tome, nedostatak provere u tom delu mehanizma mogao je omogućiti napadaču da da drugi Apple ID od onog koji pripada žrtvi, i tako prevari Appleove servere da generišu JWT koji je validan za prijavu na uslugu treće strane sa identitetom žrtve .

“Otkrio sam da mogu da tražim JWT-ove za bilo koji email ID od Applea, i kada je potpis ovih tokena verifikovan pomoću Appleovog javnog ključa, oni se prikazuju kao validni. To znači da je napadač mogao da falsifikuje JWT povezivanjem bilo kog email ID i da pristupi nalogu žrtve”, rekao je Bhavuk.

Istraživač je rekao da je ranjivost funkcionisala čak i ako odlučite da sakrijete svoj email ID od usluga trećih strana, a može se iskoristiti i za prijavu na novi nalog sa Apple ID žrtve.

“Uticaj ove ranjivosti bio je prilično kritičan jer je mogla da omogući potpuno preuzimanje naloga”, rekao je indijski istraživač, podsećajući da opciju “Prijavi se sa Appleom” koriste Dropbox, Spotify, Airbnb, Giphy i drugi servisi.

Bhavuk je prijavio problem Appleovom timu za bezbednost prošlog meseca, a kompanija je sada ispravila bag.

Pored toga što je istraživaču isplatila nagradu, kompanija je takođe potvrdila da je istražila logove svojih servera i otkrila da propust nije korišćen za kompromitovanje naloga.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zoom obećao da će krajem godine objaviti svoj prvi izveštaj o transparentnosti

Zoom obećao da će krajem godine objaviti svoj prvi izveštaj o transparentnosti

Zoom je obećao da će krajem godine objaviti svoj prvi izveštaj o transparentnosti. Ovo je objavljeno na blogu izvršnog direktora Zooma Erika Juana... Dalje

Zašto je lozinka ''123456'' vrlo loša ideja

Zašto je lozinka ''123456'' vrlo loša ideja

U jednoj od najvećih studija o upotrebi lozinki, analizom više od milijardu procurelih korisničkih podataka otkriveno je da je jedna od svake 142 ... Dalje

Zbog prikupljanja podataka korisnika, Indija zabranila 59 kineskih aplikacija, među kojima i TikTok i UC Browser

Zbog prikupljanja podataka korisnika, Indija zabranila 59 kineskih aplikacija, među kojima i TikTok i UC Browser

Indijska vlada zabranila je juče 59 kineskih mobilnih aplikacija zbog nacionalne bezbednosti. Zabrana dolazi nakon sukoba indijske vojske sa kineskim... Dalje

Kako je Telegram pobedio rusku vlast koja ga je zabranila

Kako je Telegram pobedio rusku vlast koja ga je zabranila

Pre dve godine, vlasnik Telegrama Pavel Durov odbio je da dozvoli ruskim bezbednosnim službama pristup šifrovanim porukama korisnika u svojoj popula... Dalje

Google će automatski brisati podatke koje prikuplja o novim korisnicima, a evo šta će biti sa podacima postojećih korisnika

Google će automatski brisati podatke koje prikuplja o novim korisnicima, a evo šta će biti sa podacima postojećih korisnika

Google menja svoja podrazumevana podešavanja tako da će ubuduće neki podaci koje prikuplja o korisnicima biti automatski brisani, umesto da korisni... Dalje