تتولى شركة Apple ثغرة يوم صفر في "تسجيل الدخول باستخدام Apple" وتمنح مكافأة كبيرة للباحث الأمني ​​الذي كشف عنها

تتولى شركة Apple ثغرة يوم صفر في "تسجيل الدخول باستخدام Apple" وتمنح مكافأة كبيرة للباحث الأمني ​​الذي كشف عنها

في الآونة الأخيرة ، اكتشف Bhavuk Jain ، وهو مطور يركز على الأمان ، ثغرة يوم صفر في مصادقة حساب "تسجيل الدخول باستخدام Apple" وأبلغها على الفور إلى المسؤولين الأعلى. لحسن الحظ ، لم تسبب الثغرة أي ضرر لأي مستخدم وسرعان ما قامت شركة آبل بالاعتناء بها وإصلاحها.

ثغرة يوم الصفر هي خلل صغير ، أو ثغرة في برامج / خدمات الكمبيوتر ، وهي غير معروفة أو لا يعالجها مطورو هذا البرنامج. إذا لم يتم إصلاح هذه الثغرة الأمنية في الوقت المناسب ، فيمكن لمجرمي الإنترنت استخدامها للسيطرة على حساب المستخدم في تطبيق تابع لجهة خارجية واستغلاله بشكل سلبي. يمكن لهؤلاء المتسللين الحصول على البيانات والمعلومات الشخصية ويمكنهم استغلالها بأي طريقة يريدونها.

يبحث مجرمو الإنترنت دائمًا عن نقاط الضعف هذه لإدخال مخالبهم في نظام كمبيوتر أو شبكة ولديهم طريقهم حيال ذلك.

عندما اكتشف Bhavuk Jain حول هذه الثغرة الأمنية في تسجيل الدخول باستخدام Apple ، أبلغ على الفور لأن هذا الخلل كان يمكن أن يسمح للمهاجم بالوصول والتحكم الكامل في حساب المستخدم على تطبيق تابع لجهة خارجية. حتى أنه كان بإمكانه إحداث تغيير في التحكم في حساب مستخدم هذا التطبيق ، حتى لو كان لدى المستخدم معرف Apple صالح أم لا.

تم إطلاق "تسجيل الدخول باستخدام Apple" العام الماضي ، كطريقة بديلة أكثر خصوصية لتسجيل الدخول إلى التطبيقات ومواقع الويب.

يقوم Facebook و Google بتشغيل أنظمة تسجيل الدخول الشهيرة الأخرى. عندما يقوم شخص بإنشاء حساب على كل من Facebook و Google ، فإنه يحتاج إلى الكثير من المعلومات للمصادقة وإنشاء الحساب.

أطلقت Apple نظام تسجيل الدخول الجديد هذا لتقليل كمية بيانات المستخدم ومعلوماته لأغراض المصادقة وإنشاء الحساب. بالإضافة إلى ذلك ، قاموا بتصميمه ليكون أكثر خصوصية مقارنةً بأنظمة تسجيل الدخول على Facebook و Google لأنه يقلل أيضًا من مقدار التتبع الذي يتم إجراؤه على المستخدمين.

الآن ، نظرًا لأن Apple تتضمن تسجيل الدخول باستخدام Apple في جميع التطبيقات جنبًا إلى جنب مع أنظمة تسجيل الدخول الأخرى هذه ، فقد يكون لهجوم الثغرة تأثير كبير وقاعدة واسعة جدًا من التطبيقات التي كان بإمكانها استهدافها. لذا ، كان حجم هذا ضخمًا ، لكن لحسن الحظ ، لم يتم إلحاق أي ضرر بسبب تقرير جاين السريع ضده.

تسجيل الدخول باستخدام Apple يعتمد على أحد الأمرين ؛ JSON Web Token (JWT) أو رمز خاص يتم إنشاؤه بواسطة خوادم Apple. إذا لم يكن JWT موجودًا ، فسيتم استخدام هذا الرمز الخاص لإنشاء JWT.

لتفويض حساب ، تمنح Apple المستخدمين خيار مشاركة معرف بريد Apple الإلكتروني الخاص بهم مع تطبيق جهة خارجية أو إخفاءه. إذا اختار المستخدم إخفاءه ، فإن Apple توفر معرف بريد إلكتروني خاصًا بترحيل المستخدم لإكمال عملية التفويض.

بمجرد إجراء التفويض ، توفر Apple رمز JSON Web Token (JWT) ، الذي يحتوي على معرف البريد الإلكتروني الذي يمكن للمستخدم استخدامه لتسجيل الدخول إلى تطبيق تابع لجهة خارجية.

اكتشفت Jain قبل شهر أنه يمكن طلب JWT هذا لأي معرف بريد إلكتروني ، وبمجرد أن يتحقق مفتاح Apple العام من توقيع الرمز المميز ، فسيبدو جميعًا صالحًا تمامًا. هذا يعني أن أي مجرم إلكتروني يمكن أن ينشئ JWT من خلال هذه العملية بأكملها وكان من السهل الوصول إلى حساب المستخدم!

كان من الممكن أن يتحول هذا إلى موقف ضار للغاية إذا لم تكشف Jain عن ذلك ولم تتحكم Apple بسرعة في الموقف.

بسبب اجتهاد جاين ، حصل على جائزة من برنامج باغ باون من Apple ، والتي تبلغ قيمتها 100 ألف دولار ، وهي تستحقها تمامًا.

قامت شركة آبل بتصحيح الثغرات الأمنية الآن. من غير المعروف كيف فعلوا ذلك. ولكن كل شيء على ما يرام ينتهي بشكل جيد.

Comments

Popular posts from this blog

لماذا يحتاج الذكاء الاصطناعي دائمًا إلى الرقابة البشرية ، لا يهم مدى ذكائه

70 في المائة من جميع مجالات الويب فشل في التجديد بعد عام واحد من الشراء

Reminder: StackSkills Unlimited Lifetime Access for $59