App e software

Apple assegna a un hacker $ 100.000 per aver scoperto la vulnerabilità "Accedi con Apple"

Apple assegna a un hacker $ 100.000 per aver scoperto la vulnerabilità


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

L'utile opzione Accedi con Apple di Apple, rivelata a giugno 2019, ha ricevuto una discreta attenzione positiva e per una buona ragione: sostituisce gli accessi social con un sistema di autenticazione sicuro. Inoltre, un utente può registrarsi con app e servizi di terze parti senza dover condividere il proprio indirizzo e-mail ID Apple.

Tuttavia, un ricercatore di sicurezza a Nuova Delhi, in India, ha appena scoperto un grave difetto nel sistema Accedi con Apple che consentirebbe a un utente malintenzionato di assumere potenzialmente un account semplicemente utilizzando un ID e-mail.

Apple ha premiato la persona in modo abbastanza sostanziale.

GUARDA ANCHE: L'HACKER CHE HA PROVATO A BLACKMAIL APPLE MINACCIANDO DI CANCELLARE 319 MILIONI DI ACCOUNT ICLOUD CONDANNATI, MA NESSUN TEMPO DI CARCERE

Bounty di sicurezza di Apple

È chiaro quanto sia importante questa sorprendente scoperta per Apple, poiché la società ha pagato l'hacker $100,000 dal suo bounty pot di sicurezza Apple.

La cosa buona è che Apple ha già chiarito il problema sul suo lato server e solo dopo che questo è stato fatto Bhavuk Jain, l'uomo che ha rivelato il bug ad Apple, ha pubblicato online la sua rivelazione della scioccante vulnerabilità di sicurezza online il 30 maggio.

La vulnerabilità stessa era correlata solo alle app di terze parti che utilizzavano Accedi con Apple senza ulteriori misure di sicurezza. È preoccupante per due motivi.

In primo luogo, avrebbe potuto potenzialmente consentire una piena acquisizione degli account utente di quelle app di terze parti indipendentemente dal fatto che l'utente avesse o meno un ID Apple valido. In secondo luogo, e forse più scioccante, è stato il fatto che Apple non ha rilevato questo difetto durante le sue fasi di sviluppo.

In sostanza, ciò che Jain ha scoperto di poter fare è stato richiedere i token di autenticazione per qualsiasi ID e-mail da Apple, che sarebbe stato quindi verificato utilizzando la chiave pubblica di Apple. Pertanto, un utente malintenzionato potrebbe ottenere l'accesso all'account di una vittima. Nascondere il tuo ID e-mail dall'app di terze parti non avrebbe impedito che ciò accadesse.

Tutto sommato, però, Jain ha spiegato che un'indagine interna è stata condotta da Apple, che ha stabilito che non c'erano stati compromessi o usi impropri dell'account prima che il difetto fosse risolto.

Alcuni hacker come Jain aiutano davvero a tirare fuori il meglio da certe situazioni, proprio come questo ha fatto quando hanno rianimato le riproduzioni di video a bassa risoluzione su cassette audio.


Guarda il video: how to get your screen time password easily (Febbraio 2023).