Sign in with Apple avtorizasiya sistemində kritik sistem boşluğu aşkar edilib

Sign in with Apple avtorizasiya sistemində kritik sistem boşluğu aşkar edilib

Kibertəhlükəsizlik
01.06.2020 PAYLAŞIM

    Keçən il Apple şirkəti özünün Sign in with Apple avtorizasiya sistemini təqdim etmişdi. Bu sistem uzun şifrələrə və sosial şəbəkə məlumatlarına alternativ variant kimi çıxış edir. Lakin bir neçə müddət bundan öncə Sign in with Apple avtorizasiya sisteminin incələnməsi çərçivəsində kibertəhlükəsizlik üzrə mütəxəssislər bu sistemdə kritik sistem boşluğu aşkar ediblər. Aşkar edilmiş sistem boşluğu iOS cihaz istifadəçilərinin istifadəçi hesablarını oğurlamağa yardımçı olur. Bu barədə Ubergizmo saytı xəbər verib.

    Bhavuk Jain adlı tədqiqatçı Sign in with Apple sisteminin alqoritmini incələyən zaman aşkar edib ki, sistem boşluğundan istifadə edərək hackerlər istifadəçilərin də xəbərləri olmadan onların konfidensial məlumatlarını əldə edə və onların tətbiqlərinə daxil ola bilərlər. Onun sözlərinə əsasən aşkar edilmiş sistem boşluğu iOS cihazlarda olan Apple ID hesablarını əldə etməyə imkan yarada bilər. Funksiyanın özü OAuth 2.0-a bənzər çalışır. Autentifikasiyanın 2 mümkün variantı mövcuddur:


    JWT (JSON Web Token) və ya Apple serveri vasitəsilə generasiya edilən şifrə. Daha sonra həmin şifrə JWT-nın generasiya olunmasında istifadə olunur. Mütəxəssis aşkar edib ki, o, JWT-ni istənilən elektron poçt identifikatoru üçün əldə edə bilər. Bu tokenlərin imzaları açıq Apple açarı vasitəsilə yoxlanan zaman məlum oldu ki, onlar həqiqətə uyğundurlar. Bu isə o deməkdir ki, hacker JWT-nı istənilən elektron poçt ilə əlaqələndirərək onu saxtalaşdıra bilər. Bu üsul ilə hacker istifadəçinin özəl istifadəçi hesabını əldə edir.

    Sözügedən sistem boşluğu hələ keçən ay aşkar edilmişdi. Apple şirkətinin təmsilçiləri qeyd ediblər ki, onlar avtorizasiya alqoritmlərini yoxlayıblar bu sistem boşluğunu aradan qaldırıblar. Onlar həmçinin əlavə ediblər ki, Sign in with Apple avtorizasiya sisteminin çalışdığı müddət ərzində heç bir məlumat sızıntısı baş verməyib və Apple ID hesablarının hack olunması cəhdləri reallaşdırılmayıb.

Qeyd: Şərhlərdə nalayiq ifadələr işlətmək, reklam xarakterli mətn paylaşmaq qadağandır.

Şərh yoxdur

Şərh yazmaq üçün daxil olun


DAHA ÇOX


Hackerlər iPhone 13 Pro-nu 1 saniyə ərzində hack ediblər

Tianfu Kuboku adlı 4-cü Beynəlxalq Kibertəhlükəsizlik Yarışı çərçivəsində hackerlərdən ibarət Pangu ..


Dələduzlar deepfake texnologiya vasitəsilə bankdan 35 milyon dollar oğurlayıblar..

Süni zəka sisteminin generasiya etdiyi səs simulyasiyası sayəsində cinayətkarlar Birləşmiş Ərəb Əmir..


Android əməliyyat sistemi çoxlu sayda konfidensial məlumatı kənar serverlərə ötü..

Edinburq Universitetinin və Dublin Triniti Kollecinin tədqiqatçıları Android cihazların çoxlu sayda ..


Tarixin ən böyük məlumat sızıntısı: Hackerlər milyardlarla istifadəçi mesajını ə..

Dünyanın ən böyük telekommunikasiya operatorlarından biri olan Syniverse şirkəti özünə qarşı olmuş b..


Android üçün olan yeni zərərli proqram təminatı vaksinasiya ilə bağlı SMS mesaj ..

Android üçün nəzərdə tutulmuş daha bir zərərli proqram təminatı mətnli mesajlar vasitəsilə yayılır...


Hackerlər Twitch-i hack edərək servisin konfidensial məlumatlarını oğurlayıblar..

Hackerlər məşhur Twitch servisini hack edərək internetə 125 GB həcmində məlumatlar bazasını yerləşdi..

×