В системе авторизации Apple обнаружили уязвимость, которая позволяла получить доступ к сторонним сервисам Статьи редакции
Уязвимость закрыли ещё до публикации, а исследователь получил 100 тысяч долларов от компании.
Специалист по кибербезопасности Бавук Джайн (Bhavuk Jain) рассказал о критической уязвимости в системе авторизации «Войти через Apple». Она позволяла получить доступ к аккаунтам пользователей в сторонних сервисах, если те входили в них с помощью Apple.
Джайн подробно описал работу уязвимости на своём сайте. Проблема возникла из-за того, что система Apple после ввода данных Apple ID не проверяла, запрашивает ли ключ JSON Web Token (JWT) тот же пользователь.
Как обнаружил исследователь, из-за отсутствия проверки, серверы Apple можно было заставить генерировать корректные токены на аккаунты жертв. Сторонние сервисы принимали их, а значит злоумышленник мог получить доступ к аккаунту, если пользователь использовал вход через Apple.
Джайн сообщил о находке в Apple. Компания закрыла уязвимость и заплатила ему 100 тысяч долларов — максимальное вознаграждение по программе поиска багов.
В Apple исследователю рассказали, что после проверки логов серверов в компании не обнаружили ни одного случая использования уязвимости до её устранения. При этом проблема не затрагивала сами аккаунты Apple ID, только сервисы, в которые можно войти с помощью Apple. Однако от уязвимости не могла защитить даже функция подстановки случайного адреса электронной почты на серверах компании вместо настоящих данных пользователей.
Компания представила функцию Sign in with Apple («Войти через Apple») на конференции для разработчиков WWDC 2019. Во время презентации Apple сделала особый акцент на безопасности системы — она позволяет авторизовываться в сторонних сервисах с помощью биометрии Face ID и Touch ID, не передавая личных данных пользователей.
Позже стало известно, что авторизацию через Apple сделали обязательной во всех сервисах, где есть возможность авторизации через соцсети вроде Facebook. С тех пор её добавили к себе Adobe, Dropbox, Spotify, Airbnb и не только.
Все эти программы разглашения уязвимостей - тупая показуха.
Как человек, имеющий дело с bug bounty, скажу, что эту уязвимость наверняка нашло и сообщило о ней ещё, как минимум, несколько людей, а этому парню просто повезло быть первым. Поэтому, возможно, до него её никто не эксплуатировал. Но вот после него наверняка были какие-нибудь ещё исследователи, которым Apple с радостью сообщила, что они нашли дубликат и денег они не получат.
С другой стороны, среди реальных киберпреступников востребованы уязвимости несколько другого класса - а именно такие, которые дают полный доступ к телефону жертвы. Именно такие скупает и продаёт правительствам стартап Zerodium. И Apple, когда пишет о том, что исправила такую-то уязвимость, очень сильно лукавят, потому что ошибки, которые попадают под действие их bug bounty, вообще никогда не будут использованы реальными противниками, а вот уязвимости типа remote code execution и remote jailbreak - с огромным удовольствием. Но Apple предпочитает за них не платить и скромно молчать, когда в iOS находят очередную критическую уязвимость. Зато сколько понтов, когда они находят какую-нибудь хуйню. Вот и получается, что платят деньги индусам, а реально опасные уязвимости остаются незамеченными и эксплуатируются заинтересованными лицами годами.
Мимо заработал >100к рублей на баг баунти
Сам придумал, сам побугуртил, охуеть. Мейлру XSSку в дубликейт поставили?
Apple, когда пишет о том, что исправила такую-то уязвимость, очень сильно лукавят, потому что ошибки, которые попадают под действие их bug bounty, вообще никогда не будут использованы реальными противниками,Что ты несешь? Уязвимость позволяла по щелчку пальцев угонять учетки на сервисах с авторизацией через apple id - вот этим как раз и будут пользоваться.
Вот и получается, что платят деньги индусам, а реально опасные уязвимости остаются незамеченными и эксплуатируются заинтересованными лицами годами.Индусу заплатили за огромный импакт.
С чем связано игнорирование Apple этих типов уязвимостей?
Я так понял он имеет ввиду что латают молча, типа сами нашли. Либо это настолько глубоко что придётся лопатить месяцами
Комментарий недоступен
Вообще очень часто просто лень фиксить. Без шуток. Найдёшь SQL-инъекцию или Reflected XSS... а потом окажется, что её же в этом же месте кто-то нашёл до тебя полгода назад. И ни разгласить, ни пнуть компанию как-нибудь, чтобы она что-то сделала, нельзя - рискуешь лишиться права участвовать в программе.
Часто хакеры дают компаниям некоторое время (стандарт - 90 дней) на фикс уязвимости, и если они остаются не исправленными и по прошествию этого времени, то информация об уязвимости оказывается в открытом доступе. В прошлом году была разглашена одна такая уязвимость повышения привилегий в OS X, и Эппл за три месяца ничего так с ней сделать и не решились. Бывает.
Ну и просто риск потерять репутацию, статьи в медиа в негативном ключе и всё такое. В этом году как раз обнаружили, что некоторые не известные широкой публике уязвимости в iOS используются для шпионажа за пользователями яблофонов, а как весть дошла до Эппл, так они перед тем, как это пропатчить, начали отпираться, типа, "ну юзеру надо в почту сначала зайти и там нет контроля полного над девайсом, баг говно!" Вот такие дела.
Жму руку автору комента. Вот уважаю таких как он. Правду матку сразу, без воды и нытья, по делу и со знаниями. Боже, храни БагБаунти
НЕ НУ ВИДАЛИ ВИДАЛИ Я ЖЕ ГОВОРИЛ ЭПЛ ГОВНО
обнаружен твинк муртазина
После регистрации в тик токе через эту кнопку, раз в месяц в мой аккаунт начали пытаться войти из Китая. Раньше такого никогда не было
Придётся тебе удалить тикток. Может это и к лучшему
Боюсь поздно 😔
Земля пухом
Дыня пидор
Лев, ты против?
Комментарий недоступен
Против дыни
"Лев против дыни" - отличная идея для ника
максимально похожее что я смог найти
подпись: тигр (лев) совсем ёбнулся
@Вахтёр оскорбления
нахуй иди дыня
Кыся порвалась
найс твинков палишь
Это не он, иначе куда смотрит Вахтёр TJ, манипулирование рейтингом и всё такое.
@Вахтёр oскорбления
Комментарий недоступен
вот ещё один твинк дыни, @Вахтёр хватай!
Комментарий недоступен
ты спалился, всё вали
Комментарий недоступен
Комментарий недоступен
Люблю показуху
Комментарий недоступен
Пыня дыдор
@Орзэмэс Мирзов когда уже будет авторизация в приложеньке через apple id?
жаль что эта штукенция так и не стала повсеместной, по пальцам пересчитать сколько сервисов добавили эту кнопку
Эм, а кто не добавил? Эпл же обязала всех, у кого есть авторизация в приложениях, добавить эту кнопку.
Откуда у эппл власть над сервисами?
Хочешь публиковаться в магазине эпл - будь добр встроить поддержку авторизации. Нет - алибидерчи
авторизация на сторонних сервисах
Ну типа... они ведь никак и не обнаружили бы...