Когда Apple объявила на своей конференции для разработчиков в июне 2019 года о новой функции «Войти с помощью Apple», она назвала ее наиболее безопасным и быстрым способом авторизации в приложениях и на сайтах. Идея, в целом, хорошая — использовать безопасную систему аутентификации от Apple вместо учетных записей в социальных сетях, с помощью которых собирают конфиденциальные данные. При этом личный адрес электронной почты оставался скрытым, а вместо него использовался случайно сгенерированный адрес электронной почты.

И вот спустя почти год специалист по безопасности из Дели Бхавук Джайн обнаружил критическую уязвимость в функционале «Войти с помощью Apple», которая может позволить злоумышленнику получить доступ к учетной записе, используя только идентификатор электронной почты жертвы. Ошибка в системе может привести к полному захвату чужих аккаунтов на сторонних платформах, которые установили кнопку «Войти с помощью Apple», независимо от того, использует человек электронную почту Apple или нет. Apple посчитал обнаруженную уязвимость настолько важной, что выплатила специалисту $100 000.

Как отмечает сам Бхавук Джайн, Apple провела внутреннее расследование и определила, что до устранения уязвимости не было взлома или неправильного использования учетных записей. В последнее время кнопку «Войти с Apple» поставили у себя Dropbox, Spotify, Airbnb, Giphy и многие другие приложения.

Источник: psm7.com