Home Apple iOS Apple isplatio programeru iz Indije nagradu od 100.000 dolara

Apple isplatio programeru iz Indije nagradu od 100.000 dolara

Ovoga je aprila indijski developer Bhavuk Jain otkrio velik sigurnosni propust u procesu provjere autentičnosti korisnika koji su se na vanjske servise prijavljivali svojim korisničkim nalogom otvorenim kod Applea. Propust u procesu “Sign In With Apple” omogućavao je napadaču upad u naloge korisnika sa svojom e-mail adresom, jer je Appleov sistem greškom mogao protumačiti bilo koju adresu kao autentičnu. Jain je pronađenu ranjivost prijavio kompaniji, a ovi su je zakrpili i pristojno ga nagradili.

Novi koncept video prikazuje iPhone 12 Pro

U sklopu Appleovog “bug bounty” programa 27-godišnji je developer iz Delhija dobio čak 100.000 dolara nagrade, a na svom je blogu prije nekoliko dana objavio i sve detalje svojeg otkrića. Do primjene zakrpe, poručili su iz Applea, nije bilo primijećeno da je iko pokušao ili uspio iskoristiti ovaj zero day propust. Istraga je pokazala da propust nije doveo do kompromitovanja niti jednog korisničkog naloga.

Jailbreak za iOS 13.5 se pojavio svega 3 dana nakon iOS ažuriranja

Funkcija “Sign In With Apple” predstavljena je na prošlogodišnjem WWDC-u kao dodatni način prijave na servise bez odavanja svoje a-mail adrese, samo klikanjem na jednu ikonu koja bi odrađivala provjeru korisnika putem Apple ID sistema.

Ovogodišnji iPhone ipak ne stiže sa USB Type C povezivanjem

Pretpostavlja se da je ovaj propust mogao dovesti do preuzimanja kontrole nad tuđim nalozima na servisima Dropbox, Spotify, Airbnb ili drugima koji omogućavaju prijavu putem Appleove provjere identiteta.

(bug)