Apps en software

Apple beloont Hacker $ 100.000 voor het ontdekken van de kwetsbaarheid 'Inloggen met Apple'

Apple beloont Hacker $ 100.000 voor het ontdekken van de kwetsbaarheid 'Inloggen met Apple'

De handige optie Aanmelden met Apple van Apple die in juni 2019 werd onthuld, kreeg behoorlijk wat positieve aandacht, en met een goede reden: het vervangt sociale logins door een veilig authenticatiesysteem. Bovendien kan een gebruiker zich aanmelden bij apps en services van derden zonder zijn Apple ID-e-mailadres te hoeven delen.

Een beveiligingsonderzoeker in New Delhi, India, heeft echter net een ernstige fout ontdekt in het systeem Aanmelden met Apple waardoor een aanvaller mogelijk een account kan overnemen door alleen een e-mail-ID te gebruiken.

Apple heeft de persoon behoorlijk beloond.

ZIE OOK: HACKER DIE PROBEERDE NAAR BLACKMAIL-APPLE DOOR 319 MILJOEN ICLOUD-ACCOUNTS VERZONDEN, MAAR GEEN GEVANGENTIJD TE VERWIJDEREN

Apple-beveiligingsbijdrage

Het is duidelijk te zien hoe belangrijk deze verrassende ontdekking voor Apple is, aangezien het bedrijf de hacker heeft betaald $100,000 uit de Apple-premiepot voor beveiliging.

Het goede is dat Apple de snafu aan de serverkant al heeft opgelost, en pas nadat dit was gebeurd, publiceerde Bhavuk Jain, de man die de bug aan Apple openbaarde, zijn onthulling van de schokkende beveiligingslek online op 30 mei.

De kwetsbaarheid zelf had alleen betrekking op de apps van derden die zonder aanvullende beveiligingsmaatregelen inloggen met Apple gebruikten. Het is om twee redenen zorgwekkend.

Ten eerste had het mogelijk een volledige overname van de gebruikersaccounts van die apps van derden mogelijk gemaakt, ongeacht of de gebruiker een geldige Apple ID had of niet. Ten tweede, en misschien nog wel schokkender, was dat Apple deze fout niet heeft opgemerkt tijdens de ontwikkelingsfasen.

In wezen ontdekte Jain dat hij kon doen, was het aanvragen van authenticatietokens voor elke e-mail-ID van Apple, die vervolgens zouden worden geverifieerd met de openbare sleutel van Apple. Zo kan een aanvaller toegang krijgen tot het account van een slachtoffer. Het verbergen van uw e-mail-ID voor de app van derden zou dit niet hebben voorkomen.

Al met al legde Jain echter uit dat er een intern onderzoek was uitgevoerd door Apple, waaruit bleek dat er geen accountcompromissen of misbruik waren voordat de fout was verholpen.

Sommige hackers zoals Jain helpen echt het beste uit bepaalde situaties naar boven te halen, net zoals deze deed toen ze videoweergaven met lage resolutie nieuw leven inblazen op audiocassettebandjes.


Bekijk de video: Unlock iCloud Activation Lock Without Apple IDDNSWIFITool All Models iPadiPhone iOS (Juli- 2021).