الرئيسية / أجهزة ذكية / أبل / أبل تغلق ثغرة أمنية في ميزة تسجيل الدخول قد تسمح للمهاجمين باختراق أي حساب

أبل تغلق ثغرة أمنية في ميزة تسجيل الدخول قد تسمح للمهاجمين باختراق أي حساب

‫دفعت شركة أبل مؤخرًا للباحث الهندي عن الثغرات Bhavuk Jain مكافأة كبيرة بقيمة 100000 دولار أمريكي مقابل الإبلاغ عن ثغرة خطيرة للغاية تؤثر على نظام “تسجيل الدخول باستخدام أبل ”.‬

كان من الممكن أن تسمح الثغرة التي تم تصحيحها الآن للمهاجمين عن بُعد بتجاوز المصادقة وتولي حسابات المستخدمين المستهدفين على خدمات وتطبيقات الطرف الثالث التي تم تسجيلها باستخدام خيار “تسجيل الدخول باستخدام أبل”.‬

تم إطلاق ميزة “تسجيل الدخول باستخدام أبل” العام الماضي في مؤتمر WWDC وقد تم تقديم ميزة “تسجيل الدخول باستخدام أبل” إلى العالم كآلية تسجيل دخول للحفاظ على الخصوصية تتيح للمستخدمين تسجيل حساب مع تطبيقات الطرف الثالث دون الكشف عن عناوين بريدهم الإلكتروني الفعلية (تُستخدم أيضًا معرفات أبل).‬

وفي مقابلة مع The Hacker News كشف Bhavuk Jain أن الثغرة التي اكتشفها تكمن في الطريقة التي كانت بها أبل تتحقق من صحة المستخدم من جانب العميل قبل بدء طلب من خوادم مصادقة أبل.‬

بالنسبة لأولئك الذين لا يعرفون أثناء مصادقة مستخدم عبر “تسجيل الدخول باستخدام أبل” يقوم الخادم بإنشاء JSON Web Token الذي يحتوي على معلومات سرية يستخدمها تطبيق الطرف الثالث لتأكيد هوية المستخدم الذي قام بتسجيل الدخول.‬

وجد Bhavuk أنه على الرغم من أن أبل تطلب من المستخدمين تسجيل الدخول إلى حساب أبل الخاص بهم قبل بدء الطلب إلا أنه لم يتم التحقق من صحة هذا الشخص إذا كان يطلب JSON Web Token في الخطوة التالية من خادم المصادقة الخاص به.‬

لذلك كان من الممكن أن يسمح التحقق المفقود في هذا الجزء من الآلية للمهاجم بتقديم معرف أبل منفصل يخص الضحية مما يخدع خوادم أبل في توليد حمولة JWT التي كانت صالحة لتسجيل الدخول إلى خدمة طرف ثالث بهوية الضحية.‬

أخيرًا أبلغ Bhavuk فريق أمان أبل الشهر الماضي بالمشكلة وقد قامت الشركة الآن بتصحيح الثغرة الأمنية إلى جانب دفع مكافأة للباحث بالإضافة الى ذلك أكدت الشركة أنها أجرت تحقيقًا في سجلات خوادمها ووجدت أن العيب لم يتم استغلاله لاختراق أي حساب.‬

عن فدوى

شاهد أيضاً

واتس أب تتيح لك إضافة جهات اتصال عن طريق مسح كود QR وأكثر

‫تعمل الشبكة الاجتماعية واتس أب على طرح مجموعة من المميزات الجديدة خلال الأسابيع القليلة القادمة …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *