Компания Apple выплатила 100 тыс. долларов специалисту по кибербезопасности по имени Бавук Джайн, который сообщил Apple о критической уязвимости в системе авторизации "Войти через Apple".
Суть уязвимости Джайн подробно описал на своем сайте. Она заключалась в том, что хакеры могли получить доступ к аккаунтам пользователей в сторонних сервисах, если те входили, используя аккаунт в Apple. Такая возможность взлома существовала, поскольку система Apple после ввода данных Apple ID не проверяла, запрашивает ли ключ JSON Web Token (JWT) тот же пользователь.
Как обнаружил исследователь, из-за отсутствия проверки, серверы Apple можно было заставить генерировать корректные токены на аккаунты жертв. Сторонние сервисы принимали их, а значит злоумышленник мог получить доступ к аккаунту, если пользователь использовал вход через Apple, пишет TJ. Проблема не затрагивала сами аккаунты Apple ID, но защитить сторонние аккаунты не могла даже функция подстановки случайного адреса электронной почты на серверах компании вместо настоящих данных пользователей
В Apple сообщили Джайну об устранении уязвимости, а также отметили, что проверка не обнаружила ни одного случая практического использования уязвимости. Полученное экспертом вознаграждение является максимально возможным в рамках программы Apple по поощрению специалистов, нашедших уязвимости (bug bounty).
Функция "Войти через Apple" была представлена в прошлом году на конференции для разработчиков WWDC. В ходе той презентации в компании подчеркивали безопасность системы. Так, в Apple отмечали, что она позволяет авторизовываться в сторонних сервисах с помощью биометрии Face ID и Touch ID, не передавая личных данных пользователей. После этого возможность авторизации при помощи этой функции внедрили многие сайты и сервисы.