قد تؤدي ثغرة "تسجيل الدخول باستخدام Apple" إلى السماح للقراصنة بالتحكم في الحساب

December 13, 2021
فيتقنية تفاحة Ios

click fraud protection

خطأ في "تسجيل الدخول باستخدام تفاحتركت الميزة iOS معلومات المستخدم غير محمية ، عند الوصول إليها من قبل تطبيقات الطرف الثالث. تم العثور على الخطأ بواسطة مبرمج وعلى الرغم من أن الاكتشاف يسلط الضوء بشكل أكبر على كيف أن أمان Apple ليس كما هو محكم كما قد يتوقع البعض ، في نفس الوقت ، يساعد على جعل نظام التشغيل أكثر أمانًا من قبل.

تأتي أجهزة Apple الذكية مع تصور أنها خيار أكثر أمانًا مقارنةً بـ ذكري المظهر منتجات. على الرغم من أن هذا المثال كان في بيئة خاضعة للرقابة ، إلا أن الشركة ليست كذلك دون حوادث أمنية غير كافية. في هذه الحالة ، كانت المشكلة تتعلق بنظام التحقق الذي يسمح لأي شخص لديه معرف Apple بمنح كيان آخر حق الوصول إلى معلومات تسجيل الدخول الخاصة به. لراحة المستخدم ، تأتي هذه الميزة بتكلفة مع الإجمالية عناصر بما في ذلك رسائل البريد الإلكتروني والمعلومات المصرفية والتفاصيل الشخصية التي تعرضت جميعها للخطر أثناء نشاط الخطأ.

تم العثور على المشكلة الأساسية من قبل المبرمج والباحث ، بهافوك جاين ، الذي اكتشف خطأ في أمان Apple في أبريل. تركز الاكتشاف على كيفية منح مصادقة المستخدم حق الوصول إلى المعلومات. بشكل أساسي ، عندما ينقر المستخدم على خيار "تسجيل الدخول باستخدام Apple" في أحد التطبيقات ، يتم إرسال طلب إلى شركة للحصول على معلومات تسجيل دخول المستخدمين وهذا سيرسل بعد ذلك رمز ويب JSON (JWT) ، منح تفويض. يمكن استغلال رمز JWT هذا عن طريق إرفاق معرف Apple الذي يتنكر على أنه تمريرة لمعلومات مستخدم غير مقصود. سواء اختار إخفاء تفاصيل تسجيل الدخول أم لا ، يمكن للمتسلل استغلال الخطأ في الكود الأساسي والوصول إلى بيانات مستخدم iOS. كما أوضح

أخبار القراصنة، قامت Apple بتصحيح المشكلة بعد تنبيهها إلى الخطأ.

أحدث إصدار من Apple و iOS تذكير أمان آخر

بعض تطبيقات الطرف الثالث قد يكون لهم إجراءات أمنية إضافية مطبقة من شأنها أن تلغي المشكلة بينما تظل الثغرة الأمنية مشكلة. ومع ذلك ، باستثناء هذا الاحتمال ، فقد تعرض المستخدمون للخلل في نظام Apple. على الرغم من أنه يستخدم OAuth 2.0 ، الذي يسود في حلقة برنامج التحقق من المستخدم ، إلا أنه ليس منافسًا وحيدًا. بعض الأسماء التي تقف ضدها هي Keycloak و Devise و Amazon Cognito. يمكن للمستهلكين القلقين بشأن هذه المشكلة دائمًا أن يختاروا التخلي عن ميزة تسجيل الدخول وإدخال المعلومات يدويًا للحد من التعرض لسرقة البيانات ، جنبًا إلى جنب مع استخدام خدمات السلامة الأخرى والميزات.

لا يزال الأمان يمثل مشكلة مهمة في مجتمع التكنولوجيا ، وخاصة تصبح البيانات أكثر قيمة متأخر، بعد فوات الوقت. من المشجع معرفة أن Apple تشجع المتسللين على اكتشاف الأخطاء في نظامها حتى يمكن إصلاحها. ومع ذلك ، فكلما ظهرت مشكلات أمان iOS في كثير من الأحيان ، كلما ابتعد عنوان نظام التشغيل الأكثر أمانًا عن Apple.

مصدر: THN

خطيب 90 يومًا: أرييلا يشتبه في أن بينيام يخفي سرًا كبيرًا عنها

عن المؤلف