main-post-cover

    Sign in with Apple avtorizasiya sistemində kritik sistem boşluğu aşkar edilib

    Təhlükəsizlik
    01.06.2020
    Emil Nəcəfov
        Keçən il Apple şirkəti özünün Sign in with Apple avtorizasiya sistemini təqdim etmişdi. Bu sistem uzun şifrələrə və sosial şəbəkə məlumatlarına alternativ variant kimi çıxış edir. Lakin bir neçə müddət bundan öncə Sign in with Apple avtorizasiya sisteminin incələnməsi çərçivəsində kibertəhlükəsizlik üzrə mütəxəssislər bu sistemdə kritik sistem boşluğu aşkar ediblər. Aşkar edilmiş sistem boşluğu iOS cihaz istifadəçilərinin istifadəçi hesablarını oğurlamağa yardımçı olur. Bu barədə Ubergizmo saytı xəbər verib.
        Bhavuk Jain adlı tədqiqatçı Sign in with Apple sisteminin alqoritmini incələyən zaman aşkar edib ki, sistem boşluğundan istifadə edərək hackerlər istifadəçilərin də xəbərləri olmadan onların konfidensial məlumatlarını əldə edə və onların tətbiqlərinə daxil ola bilərlər. Onun sözlərinə əsasən aşkar edilmiş sistem boşluğu iOS cihazlarda olan Apple ID hesablarını əldə etməyə imkan yarada bilər. Funksiyanın özü OAuth 2.0-a bənzər çalışır. Autentifikasiyanın 2 mümkün variantı mövcuddur:
        JWT (JSON Web Token) və ya Apple serveri vasitəsilə generasiya edilən şifrə. Daha sonra həmin şifrə JWT-nın generasiya olunmasında istifadə olunur. Mütəxəssis aşkar edib ki, o, JWT-ni istənilən elektron poçt identifikatoru üçün əldə edə bilər. Bu tokenlərin imzaları açıq Apple açarı vasitəsilə yoxlanan zaman məlum oldu ki, onlar həqiqətə uyğundurlar. Bu isə o deməkdir ki, hacker JWT-nı istənilən elektron poçt ilə əlaqələndirərək onu saxtalaşdıra bilər. Bu üsul ilə hacker istifadəçinin özəl istifadəçi hesabını əldə edir.
        Sözügedən sistem boşluğu hələ keçən ay aşkar edilmişdi. Apple şirkətinin təmsilçiləri qeyd ediblər ki, onlar avtorizasiya alqoritmlərini yoxlayıblar bu sistem boşluğunu aradan qaldırıblar. Onlar həmçinin əlavə ediblər ki, Sign in with Apple avtorizasiya sisteminin çalışdığı müddət ərzində heç bir məlumat sızıntısı baş verməyib və Apple ID hesablarının hack olunması cəhdləri reallaşdırılmayıb.
    Linki kopyala