Sign in with Apple avtorizasiya sistemində kritik sistem boşluğu aşkar edilib

Sign in with Apple avtorizasiya sistemində kritik sistem boşluğu aşkar edilib

Kibertəhlükəsizlik
01.06.2020 PAYLAŞIM

    Keçən il Apple şirkəti özünün Sign in with Apple avtorizasiya sistemini təqdim etmişdi. Bu sistem uzun şifrələrə və sosial şəbəkə məlumatlarına alternativ variant kimi çıxış edir. Lakin bir neçə müddət bundan öncə Sign in with Apple avtorizasiya sisteminin incələnməsi çərçivəsində kibertəhlükəsizlik üzrə mütəxəssislər bu sistemdə kritik sistem boşluğu aşkar ediblər. Aşkar edilmiş sistem boşluğu iOS cihaz istifadəçilərinin istifadəçi hesablarını oğurlamağa yardımçı olur. Bu barədə Ubergizmo saytı xəbər verib.

    Bhavuk Jain adlı tədqiqatçı Sign in with Apple sisteminin alqoritmini incələyən zaman aşkar edib ki, sistem boşluğundan istifadə edərək hackerlər istifadəçilərin də xəbərləri olmadan onların konfidensial məlumatlarını əldə edə və onların tətbiqlərinə daxil ola bilərlər. Onun sözlərinə əsasən aşkar edilmiş sistem boşluğu iOS cihazlarda olan Apple ID hesablarını əldə etməyə imkan yarada bilər. Funksiyanın özü OAuth 2.0-a bənzər çalışır. Autentifikasiyanın 2 mümkün variantı mövcuddur:


    JWT (JSON Web Token) və ya Apple serveri vasitəsilə generasiya edilən şifrə. Daha sonra həmin şifrə JWT-nın generasiya olunmasında istifadə olunur. Mütəxəssis aşkar edib ki, o, JWT-ni istənilən elektron poçt identifikatoru üçün əldə edə bilər. Bu tokenlərin imzaları açıq Apple açarı vasitəsilə yoxlanan zaman məlum oldu ki, onlar həqiqətə uyğundurlar. Bu isə o deməkdir ki, hacker JWT-nı istənilən elektron poçt ilə əlaqələndirərək onu saxtalaşdıra bilər. Bu üsul ilə hacker istifadəçinin özəl istifadəçi hesabını əldə edir.

    Sözügedən sistem boşluğu hələ keçən ay aşkar edilmişdi. Apple şirkətinin təmsilçiləri qeyd ediblər ki, onlar avtorizasiya alqoritmlərini yoxlayıblar bu sistem boşluğunu aradan qaldırıblar. Onlar həmçinin əlavə ediblər ki, Sign in with Apple avtorizasiya sisteminin çalışdığı müddət ərzində heç bir məlumat sızıntısı baş verməyib və Apple ID hesablarının hack olunması cəhdləri reallaşdırılmayıb.

Qeyd: Şərhlərdə nalayiq ifadələr işlətmək, reklam xarakterli mətn paylaşmaq qadağandır.

Şərh yoxdur

Şərh yazmaq üçün daxil olun


DAHA ÇOX


DuckDuckGo brauzerinin istifadəçi məlumatlarını Microsoft-a ötürdüyü məlum olub..

DuckDuckGo Privacy Browser adlı brauzerin mobil versiyalarının istifadəçi məlumatlarını Microsoft şi..


Bloomberg: 'Google istifadəçilərin konfidensial məlumatlarını reklamçılara inanı..

Bloomberg saytının verdiyi məlumata əsasən Google şirkəti istifadəçilərin özəl məlumatlarını reklamç..


iOS-dəki ciddi sistem boşluğu iPhone-nun sönmüş vəziyyətdə olduğu halda da probl..

Almaniyada yerləşən Darmştadt Texniki Universitetinin tədqiqatçıları iOS-də ciddi sistem boşluğu aşk..


Avropa Birliyinin yeni qaydaları messencerlərdən mesajların skan olunmasını tələ..

Avropa Komissiyasının təklif etməyə hazırlaşdığı yeni qaydalara əsasən Whatsapp və Facebook Messenge..


KİBERTƏHLÜKƏSİZLİK: Niyə təşkilatlar özləri üçün ən böyük təhlükədirlər?..

Ransomware hücumlarının 2020-ci ildə 123 milyon dollar ziyan vurduğu təxmin edilir


Müxtəlif VPN servislərin ümumilikdə 21 milyon istifadəçisinin konfidensial məlum..

Aşkar edilmiş məlumatlar bazasında 3 məşhur pulsuz VPN servisinin istifadəçilərinin məlumatları var...

×