Sign in with Apple avtorizasiya sistemində kritik sistem boşluğu aşkar edilib

Sign in with Apple avtorizasiya sistemində kritik sistem boşluğu aşkar edilib

Kibertəhlükəsizlik
01.06.2020 PAYLAŞIM

    Keçən il Apple şirkəti özünün Sign in with Apple avtorizasiya sistemini təqdim etmişdi. Bu sistem uzun şifrələrə və sosial şəbəkə məlumatlarına alternativ variant kimi çıxış edir. Lakin bir neçə müddət bundan öncə Sign in with Apple avtorizasiya sisteminin incələnməsi çərçivəsində kibertəhlükəsizlik üzrə mütəxəssislər bu sistemdə kritik sistem boşluğu aşkar ediblər. Aşkar edilmiş sistem boşluğu iOS cihaz istifadəçilərinin istifadəçi hesablarını oğurlamağa yardımçı olur. Bu barədə Ubergizmo saytı xəbər verib.

    Bhavuk Jain adlı tədqiqatçı Sign in with Apple sisteminin alqoritmini incələyən zaman aşkar edib ki, sistem boşluğundan istifadə edərək hackerlər istifadəçilərin də xəbərləri olmadan onların konfidensial məlumatlarını əldə edə və onların tətbiqlərinə daxil ola bilərlər. Onun sözlərinə əsasən aşkar edilmiş sistem boşluğu iOS cihazlarda olan Apple ID hesablarını əldə etməyə imkan yarada bilər. Funksiyanın özü OAuth 2.0-a bənzər çalışır. Autentifikasiyanın 2 mümkün variantı mövcuddur:


    JWT (JSON Web Token) və ya Apple serveri vasitəsilə generasiya edilən şifrə. Daha sonra həmin şifrə JWT-nın generasiya olunmasında istifadə olunur. Mütəxəssis aşkar edib ki, o, JWT-ni istənilən elektron poçt identifikatoru üçün əldə edə bilər. Bu tokenlərin imzaları açıq Apple açarı vasitəsilə yoxlanan zaman məlum oldu ki, onlar həqiqətə uyğundurlar. Bu isə o deməkdir ki, hacker JWT-nı istənilən elektron poçt ilə əlaqələndirərək onu saxtalaşdıra bilər. Bu üsul ilə hacker istifadəçinin özəl istifadəçi hesabını əldə edir.

    Sözügedən sistem boşluğu hələ keçən ay aşkar edilmişdi. Apple şirkətinin təmsilçiləri qeyd ediblər ki, onlar avtorizasiya alqoritmlərini yoxlayıblar bu sistem boşluğunu aradan qaldırıblar. Onlar həmçinin əlavə ediblər ki, Sign in with Apple avtorizasiya sisteminin çalışdığı müddət ərzində heç bir məlumat sızıntısı baş verməyib və Apple ID hesablarının hack olunması cəhdləri reallaşdırılmayıb.

Qeyd: Şərhlərdə nalayiq ifadələr işlətmək, reklam xarakterli mətn paylaşmaq qadağandır.

Şərh yoxdur

Şərh yazmaq üçün daxil olun


DAHA ÇOX


Dələduzlar Telegram-ı maliyyə məlumatlarının satışları üçün istifadə edirlər..

Kibertəhlükəsizlik sahəsində fəaliyyət göstərən Cybersixgill adlı şirkətin mütəxəssisləri tərəfindən..


Safari brauzerindəki boşluq istifadəçi məlumatlarının sızdırılmasına səbəb ola b..

Apple şirkətinin Safari brauzerində aşkar edilmiş boşluq brauzer tarixçəsi ilə Google istifadəçi hes..


19 yaşlı mütəxəssis 25 ədəd Tesla elektromobili üzərində uzaqdan idarəni əldə ed..

İnformasiya təhlükəsizliyi üzrə 19 yaşlı mütəxəssis David Colombo bildirib ki, o, 13 ölkədən Tesla-n..


Yeni iOS virus sistem prosesi kimi maskalanaraq istifadəçi məlumatlarını oğurlay..

ZecOps şirkətinin mütəxəssisləri iPhone-larda yeni sistem boşluğunu aşkar edibkər.


Hackerlər zərərli linkləri Google Docs üzərindən yaymağa başlayıblar

Kibertəhlükəsizlik sahəsində fəaliyyət göstərən Avanan adlı şirkətin verdiyi məlumata əsasən hackerl..


Telegram-ın yaradıcısı Pavel Durov ABŞ messencerlərini yenidən tənqid edib..

Bir neçə müddət bundan öncə Signal messencerinin yaradıcısı Moxie Marlinspike Telegram-ı sərt şəkild..

×