Исследователь в области информационной безопасности Бхавук Джайн обнаружил уязвимость в функции «Вход с Apple», которая позволяла злоумышленникам получать контроль над учетными записями пользователей. Специалист оперативно сообщил Apple о своей находке и купертиновцы уже устранили недочет.
По словам эксперта, уязвимость в функции «Вход с Apple» могла привести к тому, что пользователи потеряют доступ к своим учетным записям, включая аккаунт Apple ID. При этом, учитывая, что купертиновцы сделали подобный метод авторизации обязательным для приложений из App Store, потенциально от этой проблемы могли пострадать многие владельцы яблочных устройств.
Джайн отметил, что при использовании функции «Вход с Apple» происходит генерация JSON Web Token, который содержит в себе конфиденциальную информацию. Последняя используется сторонними приложениями и сервисами для идентификации пользователя. Эксперт обнаружил способ подделать JSON Web Token , связав с ним любой идентификатор электронной почты и получив доступ к учетной записи.
Джайн нашел уязвимость еще в апреле этого года и сразу связался с Apple. Купертиновцы оперативно доработали функцию и устранили уязвимость, выплатив эксперту вознаграждение в размере 100 000 долларов. Также представители яблочной компании отметили, что за время работы «Вход с Apple» не произошло ни одной утечки или попытки взлома пользовательских аккаунтов.