رفتن به محتوای اصلی
ثبت گزارش
ثبت گزارش
1399-03-29 10:36
تنظیم اندازه قلم

پ

1:13
کد خبر: 148624

بحرانی جدید برای کاربران اپل

بحرانی جدید برای کاربران اپل

اپل اخیرا با توجه به گزارش یک جوان هندی سرور های خود را مورد برسی جدی امنیتی قرار داده است. این آسیب پذیری جدید به مهاجمین اجازه می‌دهد تا مراحل احراز هویت را از راه دور انجام دهند و حساب‌های کاربران و برنامه هایی که با استفاده از گزینه "ورود به سیستم با اپل" بر روی ios قربانی ثبت شده‌اند، به دست گیرند.

سال گذشته در کنفرانس WWDC ، ویژگی "ورود با اپل" به عنوان مکانیسم ورود به سیستم حفظ حریم خصوصی به جهانیان معرفی شد که به کاربران این امکان را می دهد که بدون افشای آدرس ایمیل خود، یک حساب کاربری با برنامه‌های کاربری ثبت کنند.

در مصاحبه با The Hacker News، باووک جین فاش کرد که آسیب پذیری که وی کشف کرده است قبل از شروع درخواست از سرورهای تأیید اعتبار در سمت کاربران وجود دارد.

سرور JSON Web Token ‪(JWT)‬  حاوی اطلاعات مخفی است که برای تأیید هویت کاربر برای ورود به سیستم استفاده می‌شود.

apple-hacking.jpg

باووک جین گفت: من فهمیدم که می‌توانم برای هر شناسه ایمیل از Apple درخواست JWT را بدهم، و هنگامی که این نشانه‌ها با استفاده از کلید عمومی اپل تأیید شد، آنها معتبر بودن را نشان دادند. این بدان معنی است که یک مهاجم می‌تواند با اتصال هر شناسه ایمیل و دسترسی به JWT یک کاربری جعلی ایجاد کند.

این محقق گفت اگرچه این آسیب پذیری در سمت اپل وجود دارد ، اما ممکن است از امنیت اطلاعات درج شده در برخی از سرویس‌ها و برنامه‌های ارائه شده "ورود به سیستم با اپل" را مورد تهدید خود قرار دهد.

لازم به ذکر است باووک ماه گذشته این موضوع را به تیم امنیتی اپل گزارش داد و این شرکت هم اکنون آسیب پذیری مورد نظر را برطرف کرده است.

 

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط