У функції "Вхід з Apple" виявили серйозний недолік

Баг у функції "Вхід з Apple" дозволяє зловмисникові віддалено обійти аутентифікацію і перехопити контроль над обліковими записами цільових користувачів в сторонніх службах і додатках, для авторизації в яких використовувалася функція "Вхід з Apple". Небезпечну уразливість виявив дослідник з кібербезпеки Бхавук Джайн, повідомляє Apple Insider. Запущена в минулому році функція "Вхід з Apple" була представлена в якості можливості авторизації зі збереженням конфіденційності, дозволяючи реєструвати облікові записи в сторонніх додатках без розкриття адреси електронної пошти. Уразливість була пов'язана з тим, як Apple перевіряла користувача на стороні клієнта перед ініціацією запиту з серверів перевірки автентичності Apple. Під час аутентифікації користувача через функцію "Вхід з Apple" сервер генерує JSON Web Token (JWT), що містить конфіденційну інформацію, яку стороннє додаток використовує для підтвердження особи користувача, що увійшов в систему. Хоча компанія просить користувачів увійти в свій обліковий запис Apple перед початком запиту, вона не перевіряла, чи та ж особа запитує JSON Web Token (JWT) на наступному кроці зі свого сервера аутентифікації. Таким чином відсутність даної перевірки могло дозволити зловмиснику отримати Apple ID, що належить жертві, обманюючи сервери Apple з метою створення корисного навантаження JWT і входу в сторонній сервіс з використанням даних жертви. За словами фахівця, вразливість може бути проексплуатовано, навіть якщо користувач приховав свій ідентифікатор електронної пошти від сторонніх служб, і може також використовуватися для реєстрації нового облікового запису з ідентифікатором Apple ID жертви. Дослідник повідомив про свої знахідки команді безпеки Apple минулого місяця, і компанія виправила дану уразливість. НА ЗАМІТКУ: https://cybercalm.org/yak-vydalyty-onovlennya-windows-10-instruktsiya/ Також радимо звернути увагу на поради, про які писав Cybercalm, а саме: ЯК КОНТРОЛЮВАТИ ОНОВЛЕННЯ WINDOWS 10 ЗА П’ЯТЬ КРОКІВ ЯК ОБМЕЖИТИ ЕКРАННИЙ ЧАС У WINDOWS 10? – ІНСТРУКЦІЯ ЯК ВИПРАВИТИ НЕПОЛАДКИ ЗІ ЗВУКОМ НА МАС? ЯК ЗАБОРОНИТИ ВІДЗНАЧАТИ ВАС НА ФОТО В INSTAGRAM? ЯК ВІДПРАВЛЯТИ ФАКС ЗІ СВОГО СМАРТФОНА? Нагадаємо, фахівці з VPNpro виявили в Google Play Store цілу низку шкідливих додатків, в цілому встановлених щонайменше на 157 млн пристроїв. Метою додатків було збір даних про користувачів. Також виявлено експлойт, який дозволяє зловмисникам перехоплювати будь-яку програму на зараженому смартфоні – потенційно відкриваючи приватні SMS-повідомлення та фотографії, облікові дані входу, GPS-координати, телефонні розмови Окрім цього, Google випустила оновлення Google Maps, в якому додала підтримку режиму Plus Code. Він дозволяє поділитися геолокацією, навіть якщо адреса відсутня або невідома. До речі, Google також оголосила про намір впровадити в Chrome антиспам-систему для блокування повідомлень. Нова функція повинна з’явитися в версії Chrome 84, запланованої до виходу 12 липня 2020 року. А компанія Microsoft заявила, що Windows 10, версія 2004, буде постачатися з підтримкою Wi-Fi 6 і WPA3 для гігабітних швидкостей і кращої продуктивності, а також для більш безпечного бездротового підключення до мережі.