اپل

جایزه هزار دلاری اپل به یابنده حفره امنیتی در سیستم «Sign in with Apple»

اپل به یک محقق امنیتی به نام Bhavuk Jain که توانسته اخیرا یک نقص امنیتی جدی را در سیستم لاگین «Sign in with Apple» این شرکت کشف کند، جایزه هزار دلاری پرداخت کرد.

این باگ به هکرها این اجازه را می‌داد تا کنترل حساب کاربری شخص را در برخی وب‌سایت‌ها و اپلیکیشن‌ها در دست بگیرند. به گفته این محقق، حفره امنیتی مذکور در شیوه ای است که اپل از طریق آن برای تایید هویت کاربران استفاده می‌کند. این سیستم لاگین سال گذشته توسط اپل معرفی شد و از طریق اپل آیدی قابل استفاده است.

یکی از برتری‌های سیستم «Sign in with Apple» نسبت به دیگر روش‌ها در این است که کاربر می‌تواند ایمیل خود را از سرویس‌ها یا اپلیکیشن‌های ثالث پنهان کند. در این سیستم، برای تایید هویت کاربر از یک JWT (مخفف عبارت JSON Web Token) یا یک کدی که توسط سرورهای اپل ایجاد می‌شود، استفاده می‌شود.

در فرآیند تایید هویت، اپل این امکان را به کاربر می‌دهد تا اپل آیدی خود را با اپلیکیشن‌های ثالث به اشتراک بگذارند یا در صورت تمایل، پنهان کند. اگر کاربر، گزینه عدم اشتراک را انتخاب کند، اپل از یک سیستم ساخت ایمیل جدید استفاده می‌کند. بعد از آنکه تایید هویت با موفقیت انجام شد، اپل با توجه به آنچه کاربر انتخاب می‌کند، یک JWT تولید می‌کند که حاوی آیدی ایمیل است.

سپس اپلیکیشن‌های شاخص از این آیدی برای لاگین شدن کاربر استفاده می‌شود و این همان جایی است که حفره امنیتی ظاهر می‌شود. این محقق امنیتی در گزارش این باگ اعلام کرده بود که می‌تواند برای هر آیدی ایمیل اپل، JWT درخواست کند و با استفاده از آن به اطلاعات شخصی کاربر دسترسی داشته باشد.

به گفته Jain، تاثیر این حفره امنیتی بسیار زیاد و البته حساس است زیرا امکان دسترسی کامل به اکانت را برای هکرها فراهم می‌کند. بسیاری از توسعه‌دهندگان از قابلیت لاگین Sign in with Apple برای محصولات خود استفاده کرده‌اند که از جمله آن‌ها می‌توان به دراپ باکس، اسپاتیفای، Airbnb و Giphy اشاره کرد.

با این حال، وی اعلام کرد که در بررسی های اپل مشخص شد که هیچ سوءاستفاده‌‎‌ای از طریق این حفره امنیتی از حساب های کاربری افراد صورت نگرفته و این شرکت توانسته مشکل مذکور را حل کند.

 

منبع
Gizmodo

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا