به گزارش سافت گذر، بوهووک ژین، محقق امنیتی نرم افزاری جدیداً یک مشکل حاد در صفحه Apple Login پیدا کرده که به هکرها اجازه می دهد اطلاعات کاربران افراد را به سرقت ببرند اما گویا این باگ بیشتر به اپلیکیشن های متفرقه ای مربوط می شود که از گزینه Apple Login بهره می برند و از امنیت بالایی برخوردار نیستند.
ژین یادآور می شود که وارد شدن با حساب کاربری اپل هویت کاربران را با استفاده از مکانیسم امنیتی JWT تأیید می کند تا ایمیل ارائه شده با نام کاربری آنها هماهنگ گردد. آن طور که در گزارش منتشر شده مشخص است، اگر JWT نام کاربری اپل یا ایمیل و امضای کاربران تأیید شود، می توان وارد حساب کاربری شد در غیر این صورت اگر خطایی نمایش داده نشد، هکرها قادر خواهند بود یک JWT جعلی بسازند و با استفاده از آن به اطلاعات شخصی افراد دست یابند.
بوهووک ژین در مصاحبه با یکی از سایت ها گفت:«« تأثیر مخرب این مشکل امنیتی بسیار زیاد است زیرا این امکان را ایجاد می کند تا هکرها کنترل یک اکانت را به کلی در دست بگیرند. بسیاری از توسعه دهندگان از ویژگی Apple Login استفاده کرده اند چرا که برای وارد شدن به حساب های کاربری سایر اپلیکیشن ها می بایست از آن بهره گرفت. از میان نرم افزارهایی که زنی ویژگی استفاده می کنند می توانیم به دراپ باکس، اسپاتیفای، AirBNB، گیفی و . . . اشاره کنیم»».
این محقق امنیتی یادآوری می کند که اپل از این مشکل خبر دارد ولی اعلام کرده که تا کنون حسابی از این باگ آسیب ندیده است. به علاوه، این مشکل تقریباً از بین رفته و افراد می توانند با خیالی آسوده از Apple Login استفاده کنند.
در پایان اشاره کنیم که به خاطر کشف این مشکل امنیتی و طبق قانون اپل مبنی بر شناسایی باگ ها و اعطای جایزه به توسعه دهندگان، بوهووک ژین 100 هزار دلار جایزه دریافت خواهد کرد.
منبع: gizchina.com