Цена безопасности: Apple заплатила хакеру круглую сумму за обнаруженную уязвимость
Когда Apple объявила на своей конференции для разработчиков в июне 2019 года о новой функции "Войти с помощью Apple", она назвала ее наиболее безопасным и быстрым способом авторизации в приложениях и на сайтах. Идея, в целом, хорошая - использовать безопасную систему аутентификации от Apple вместо учетных записей в социальных сетях, с помощью которых собирают конфиденциальные данные. При этом личный адрес электронной почты оставался скрытым, а вместо него использовался случайно сгенерированный адрес электронной почты.
И вот спустя почти год специалист по безопасности из Дели Бхавук Джайн обнаружил критическую уязвимость в функционале "Войти с помощью Apple", которая может позволить злоумышленнику получить доступ к учетной записе, используя только идентификатор электронной почты жертвы. Ошибка в системе может привести к полному захвату чужих аккаунтов на сторонних платформах, которые установили кнопку "Войти с помощью Apple", независимо от того, использует человек электронную почту Apple или нет. Apple посчитал обнаруженную уязвимость настолько важной, что выплатила специалисту $100 000.
Как отмечает сам Бхавук Джайн, Apple провела внутреннее расследование и определила, что до устранения уязвимости не было взлома или неправильного использования учетных записей. В последнее время кнопку "Войти с Apple" поставили у себя Dropbox, Spotify, Airbnb, Giphy и многие другие приложения.