Apple nützlich Mit Apple anmelden Die Option, die im Juni 2019 veröffentlicht wurde, hat aus gutem Grund einiges an positiver Aufmerksamkeit erhalten: Sie ersetzt soziale Anmeldungen durch ein sicheres Authentifizierungssystem. Darüber hinaus kann sich ein Benutzer bei Apps und Diensten von Drittanbietern ohne anmeldenmüssen ihre Apple ID-E-Mail-Adresse teilen.
Allerdings hat ein Sicherheitsforscher in Neu-Delhi, Indien, gerade aufgedeckt ein schwerwiegender Fehler im System Mit Apple anmelden, mit dem ein Angreifer möglicherweise ein Konto übernehmen kann, indem er lediglich eine E-Mail-ID verwendet.
Apple hat die Person sehr belohnt.
Apple Security Bounty
Es ist klar, wie wichtig diese überraschende Entdeckung für Apple ist, da das Unternehmen den Hacker bezahlt hat. 100.000 USD von seiner Apple Security Bounty Topf.
Das Gute ist, Apple hat die Snafu auf seiner Serverseite bereits aufgeräumt, und erst nachdem dies geschehen war, hat Bhavuk Jain, der Mann, der Apple den Fehler gemeldet hat, Veröffentlichung seiner Offenlegung der schockierenden Sicherheitslücke online auf 30. Mai .
Die Sicherheitsanfälligkeit selbst bezog sich nur auf Apps von Drittanbietern, die die Anmeldung bei Apple ohne zusätzliche Sicherheitsmaßnahmen verwendet haben. Dies ist aus zwei Gründen besorgniserregend.
Erstens Dies hätte möglicherweise eine vollständige Übernahme der Benutzerkonten dieser Drittanbieter-Apps ermöglichen können, unabhängig davon, ob der Benutzer eine gültige Apple-ID hatte oder nicht. Zweitens, und vielleicht noch schockierender, war, dass Apple diesen Fehler währenddessen nicht erkannt hatseine Entwicklungsstadien.
Im Wesentlichen was Jain Es wurde festgestellt, dass er Authentifizierungstoken für jede E-Mail-ID von Apple anfordern konnte, die dann mit dem öffentlichen Schlüssel von Apple überprüft wurden. Auf diese Weise konnte ein Angreifer auf das Konto eines Opfers zugreifen. Verstecken Sie Ihre E-Mail-ID in der Drittanbieter-Apphätte das nicht verhindert.
Alles in allem Jain erklärt dass Apple eine interne Untersuchung durchgeführt hat, bei der festgestellt wurde, dass vor der Behebung des Fehlers keine Kontokompromisse oder -missbräuche aufgetreten sind.
Einige Hacker wie Jain helfen wirklich dabei, das Beste aus bestimmten Situationen herauszuholen, genau wie dies bei ihrer Wiederbelebung der Fall war. niedrigauflösende Videowiedergabe auf Audiokassetten .