'Aanmelden met Apple'-kwetsbaarheid kan hackers accountcontrole geven
Een bug in de 'Aanmelden met' appel' functie links iOS gebruikersinformatie onbeschermd, wanneer deze worden geopend door apps van derden. De bug is gevonden door een programmeur en hoewel de ontdekking verder laat zien hoe de beveiliging van Apple niet zo is… luchtdicht is zoals sommigen zouden verwachten, helpt het tegelijkertijd om het besturingssysteem nog veiliger te maken dan voordat.
Slimme apparaten van Apple hebben de perceptie dat ze een veiligere optie zijn, vergeleken met Android producten. Hoewel deze instantie zich in een gecontroleerde omgeving bevond, is het bedrijf dat niet zonder gevallen van onvoldoende beveiliging. In dit geval was het probleem met het verificatiesysteem waarmee iemand met een Apple ID een andere entiteit toegang kan geven tot hun inloggegevens. Voor het gemak van de gebruiker heeft deze functie een prijs, met: privacy elementen, waaronder e-mails, bankgegevens en persoonlijke gegevens, liepen allemaal risico terwijl de bug actief was.
Het onderliggende probleem werd gevonden door programmeur en onderzoeker Bhavuk Jain, die in april een bug in de beveiliging van Apple ontdekte. De ontdekking was gericht op hoe de authenticatie van de gebruiker toegang krijgt tot informatie. Wanneer een gebruiker in een app op de optie 'Aanmelden met Apple' heeft geklikt, wordt er in wezen een verzoek naar de bedrijf voor de inloggegevens van de gebruikers en dit zou dan een JSON Web Token (JWT) verzenden, waardoor machtiging. Die JWT-code zou kunnen worden misbruikt door een Apple ID toe te voegen die zich voordoet als een pasje voor de informatie van een onwetende gebruiker. Of een hacker nu kiest om de inloggegevens te verbergen of niet, een hacker kan misbruik maken van de bug in de onderliggende code en toegang krijgen tot de gegevens van de iOS-gebruiker. Zoals uitgelegd door
Laatste Apple- en iOS-probleem Nog een beveiligingsherinnering
Sommige apps van derden misschien hun eigen aanvullende beveiligingsprocessen die het probleem zouden hebben opgeheven terwijl de kwetsbaarheid een probleem bleef. Echter, deze mogelijkheid buiten beschouwing gelaten, werden gebruikers blootgesteld aan de fout in het systeem van Apple. Hoewel het OAuth 2.0 gebruikt, dat kampioen is in de ring van gebruikersverificatiesoftware, is het geen enige concurrent. Enkele van de namen die zich ertegen verzetten zijn Keycloak, Devise, Amazon Cognito. Consumenten die zich zorgen maken over het probleem kunnen er altijd voor kiezen om af te zien van de inlogfunctie en handmatig informatie in te voeren om blootstelling aan gegevensdiefstal te beperken, samen met het gebruik van andere veiligheidsdiensten en kenmerken.
Beveiliging is nog steeds een belangrijk probleem in de technische gemeenschap, en vooral omdat gegevens worden waardevoller na verloop van tijd. Het is hartverwarmend om te weten dat Apple hackers aanmoedigt om bugs in zijn systeem te vinden, zodat ze kunnen worden verholpen. Hoe vaker iOS-beveiligingsproblemen aan het licht komen, hoe meer de titel voor het veiligste besturingssysteem bij Apple wegglipt.
Bron: THN
90 dagen verloofde: Ariela vermoedt dat Biniyam een groot geheim voor haar verbergt
Over de auteur