U3F1ZWV6ZTcyNTk5NDEwNjNfQWN0aXZhdGlvbjgyMjQ1MTE4ODA2
recent
أخبار ساخنة

ابل تكافئ مخترقًا بقيمة 100،000 دولار أمريكي لإيجاده ثغرة أمنية في اتصال مع ابل



كان من الممكن أن تسمح الثغرة الأمنية في آلية المصادقة "اتصال مع Apple" ، التي تم إطلاقها خلال WWDC 2019 ، للمتسللين بسرقة حساباتك المرتبطة بجهات خارجية. اكتشفها Bhavuk Jain ، وهو باحث أمني مقيم في الهند ، في أبريل الماضي ، قامت شركة Apple بتصحيح هذا العيب منذ ذلك الحين ، واعترافاً بهذا الاكتشاف ، منحت Jain مكافأة قدرها 100،000 دولار مقابل الخطأ.

تعمل منصات الاتصال ، بما في ذلك Apple ، على حماية هوية المستخدم من خلال تبادل رمز مميز مع خدمة الطرف الثالث بدلاً من توفير مجموعة من بيانات الاعتماد الخاصة. يتم إنتاج هذا الرمز المميز في كل مرة تنقر فيها ، في حالة Apple ، على زر "Connect with Apple" ، وتسمح للطرف الثالث بمصادقتك من خلال تمريرها عبر قاعدة بيانات Apple

أثر الخطأ الذي واجهه Bhavuk على الطريقة التي أكدت بها خدمة مصادقة Apple من طلب هذا الرمز المميز أثناء الجلسة. في حين أن خدمة "Connect with Apple" تتطلب حساب Apple صالحًا للعمل ، إلا أنها لم تتحقق مما إذا كان الحساب نفسه هو الذي يطلب رمزًا مميزًا. ونتيجة لذلك ، وبغض النظر عن حساب Apple المرتبط بالجهاز ، تمكن Bhavuk من استرداد رمز مميز لأي معرف Apple واستخدامه للاستيلاء على حساب الطرف الثالث المتصل بشكل غير قانوني.

حتى إذا لم يتم اختراق حساب Apple الخاص بالضحية ، نظرًا لأنه لم يتم الكشف عنه مباشرةً أثناء العملية ، فقد كان من الممكن أن يسمح هذا الخلل للمتسللين بالاتصال بأي تطبيق لتسجيل الدخول إلى الحساب التفاحة. وتجدر الإشارة أيضًا إلى أن الخطأ سيكون ضارًا فقط عندما لا يكون لخدمة الطرف الثالث نفسها حماية إضافية للخصوصية.

"كان تأثير هذه الثغرة الأمنية شديد الأهمية ، حيث كان من الممكن أن يسمح بالإدارة الكاملة للحساب. قام العديد من المطورين بدمج ميزة Connect with Apple كما هو مطلوب للتطبيقات التي تدعم الاتصالات الاجتماعية الأخرى. على سبيل المثال لا الحصر ، الذين يستخدمون الاتصال مع Apple - Dropbox و Spotify و Airbnb و Giphy (تم الحصول عليها الآن بواسطة Facebook). لم يتم اختبار هذه التطبيقات ، ولكن يمكن أن تكون عرضة للاستيلاء الكامل على الحساب إذا لم تكن هناك إجراءات أمان أخرى مطبقة عند التحقق من مستخدم "، كتب بهافوك في مشاركة مدونة.

لا ضرر كبير؟

أخبرت أبل Bhavuk ، بعد التحقيق في صحفها الداخلية ، "أنه لم يكن هناك أي إساءة أو تسوية حساب بسبب هذا الضعف".

تم إطلاق خدمة الاتصال قبل نحو عام ، وقد ركزت Apple خدمة الاتصال على فكرة تجربة اتصال أكثر خصوصية وأمانًا. تم اعتماده من قبل عدد من المطورين والشركات ، بما في ذلك Airbnb و Dropbox و Adobe و TikTok وغيرها الكثير. من غير المعروف إلى متى كانت هذه الثغرة معلقة ومدى تأثيرها على ثقة المستخدمين الأوائل في خدمة تحديد الهوية.


الاسمبريد إلكترونيرسالة