Sign in with Apple avtorizasiya sistemində kritik sistem boşluğu aşkar edilib

Sign in with Apple avtorizasiya sistemində kritik sistem boşluğu aşkar edilib

Kibertəhlükəsizlik
01.06.2020 PAYLAŞIM

    Keçən il Apple şirkəti özünün Sign in with Apple avtorizasiya sistemini təqdim etmişdi. Bu sistem uzun şifrələrə və sosial şəbəkə məlumatlarına alternativ variant kimi çıxış edir. Lakin bir neçə müddət bundan öncə Sign in with Apple avtorizasiya sisteminin incələnməsi çərçivəsində kibertəhlükəsizlik üzrə mütəxəssislər bu sistemdə kritik sistem boşluğu aşkar ediblər. Aşkar edilmiş sistem boşluğu iOS cihaz istifadəçilərinin istifadəçi hesablarını oğurlamağa yardımçı olur. Bu barədə Ubergizmo saytı xəbər verib.

    Bhavuk Jain adlı tədqiqatçı Sign in with Apple sisteminin alqoritmini incələyən zaman aşkar edib ki, sistem boşluğundan istifadə edərək hackerlər istifadəçilərin də xəbərləri olmadan onların konfidensial məlumatlarını əldə edə və onların tətbiqlərinə daxil ola bilərlər. Onun sözlərinə əsasən aşkar edilmiş sistem boşluğu iOS cihazlarda olan Apple ID hesablarını əldə etməyə imkan yarada bilər. Funksiyanın özü OAuth 2.0-a bənzər çalışır. Autentifikasiyanın 2 mümkün variantı mövcuddur:


    JWT (JSON Web Token) və ya Apple serveri vasitəsilə generasiya edilən şifrə. Daha sonra həmin şifrə JWT-nın generasiya olunmasında istifadə olunur. Mütəxəssis aşkar edib ki, o, JWT-ni istənilən elektron poçt identifikatoru üçün əldə edə bilər. Bu tokenlərin imzaları açıq Apple açarı vasitəsilə yoxlanan zaman məlum oldu ki, onlar həqiqətə uyğundurlar. Bu isə o deməkdir ki, hacker JWT-nı istənilən elektron poçt ilə əlaqələndirərək onu saxtalaşdıra bilər. Bu üsul ilə hacker istifadəçinin özəl istifadəçi hesabını əldə edir.

    Sözügedən sistem boşluğu hələ keçən ay aşkar edilmişdi. Apple şirkətinin təmsilçiləri qeyd ediblər ki, onlar avtorizasiya alqoritmlərini yoxlayıblar bu sistem boşluğunu aradan qaldırıblar. Onlar həmçinin əlavə ediblər ki, Sign in with Apple avtorizasiya sisteminin çalışdığı müddət ərzində heç bir məlumat sızıntısı baş verməyib və Apple ID hesablarının hack olunması cəhdləri reallaşdırılmayıb.

Qeyd: Şərhlərdə nalayiq ifadələr işlətmək, reklam xarakterli mətn paylaşmaq qadağandır.

Şərh yoxdur

Şərh yazmaq üçün daxil olun


DAHA ÇOX


TikTok yenə diqqət mərkəzində: Servis 1 ildən çox Android smartfonların MAC ünva..

TikTok servisi Android əməliyyat sistemindəki konfidensiallıq üzrə olan təhlükəsizlik sistemindən ya..


Yeni virus brauzer, elektron poçt və VPN servislərinin istifadəçilərinin məlumat..

Barəsində ilk dəfə 2014-cü ildə məlumat ortaya çıxmış Agent Tesla adlı kompüter virusu kibertəhlükəs..


Qualcomm şirkətinin çiplərində 400-dən çox boşluq aşkar edilib

Check Point saytının təhlükəsizlik üzrə mütəxəssisləri Qualcomm istehsalı olan mikrosxemlərin geniş ..


Pandemiya zamanı xüsusi virus külli miqdarda vəsait oğurlayıb: Hansı virus və nə..

Koronavirus pandemiyası hackerlərin daha çox fəaliyyətdə olmalarına gətirib çıxartdı.


Tədqiqatçılardan biri peyk internetini hack etməyi bacarıb: O bunu necə edib?..

Heç sirr deyil ki, hackerlər kompüterləri hack edə bilirlər. Lakin çox az adam düşünür ki, məlumatla..


Chrome üçün reklam bloklayıcı əlavələrin (extensions) 80%-i zərərli proqram təmi..

AdGuard şirkətinin mütəxəssisləri Chrome brauzerində reklamların bloklanması üçün nəzərdə tutulmuş ə..

×