Prihlasovanie od Apple obsahovalo vážnu chybu. Nálezca dostal 100 000 dolárov

Pekný bonus.

2
Ilustr. foto: bhavukjain.com

Do webových stránok a aplikácií sa môžeme v prípade potreby prihlásiť niekoľkými spôsobmi. Napríklad pomocou účtu Google alebo cez účty na sociálnych sieťach.

V minulom roku k nim pribudla ďalšia možnosť – tlačidlo Prihlásiť sa cez Apple. Spoločnosť Apple tento prostriedok predstavila v júni 2019 na konferencii pre vývojárov s tým, že ide o súkromnejší spôsob rýchleho a jednoduchého prihlásenia sa k rôznym službám.

Funkcia Prihlásiť sa cez Apple je skutočne súkromnejšia. Autentifikačný systém podľa voľby používateľa nezverejňuje jeho e-mailovú adresu (Apple ID). Nie je prekvapením, že si používatelia zariadení od Apple tento systém veľmi rýchlo osvojili.

Foto: Apple

Nič však nie je dokonalé, ako vyplýva z nedávno publikovanej správy magazínom Forbes. Bhavuk Jain, expert pôsobiaci v oblasti digitálneho zabezpečenia z indického mesta Dillí odhalil v systéme pre prihlasovanie od Apple závažnú zraniteľnosť.

Bezpečnostná diera umožňovala potenciálnym útočníkom získať plný prístup k účtom a službám, do ktorých sa užívatelia cez systém Apple prihlasovali. Chyba v overovaní používateľa na strane klienta umožňovala priradiť akýkoľvek e-mailový identifikátor k tokenu vygenerovanom servermi Apple, ktorý aplikácie tretích strán následne využívajú pre potvrdenie identity používateľa.

K takejto situácii ale v praxi našťastie nedošlo. Apple nedostatok v zabezpečení vzápätí opravil a nálezcu zraniteľnosti odmenil. V rámci programu odmeňovania, cez ktorý Bhavuk Jain chybu nahlásil, získal odmenu 100 000 dolárov.

To je určite dobrou motiváciou aj pre ostatných vývojárov a bezpečnostných expertov, ktorí môžu dopomôcť k vyššej úrovni bezpečnosti široko používaných digitálnych ekosystémov. Prirodzene, výška odmeny sa odvíja od závažnosti zraniteľnosti, ktorú sa podarí nadšencom odhaliť.

Technické podrobnosti o diere v zabezpečení nájdete na blogu Bhavuka Jaina.