HomeSecurityΚρίσιμη ευπάθεια Zero-day ανακαλύφθηκε στο «Sign in with Apple»

Κρίσιμη ευπάθεια Zero-day ανακαλύφθηκε στο «Sign in with Apple»

Sign in with Apple

Όπως ανακάλυψε ένας ερευνητής ασφαλείας από την Ινδία, μια ευπάθεια zero-day, που υπάρχει στο “Sign in with Apple“, επιτρέπει σε κακόβουλους παράγοντας να παίρνουν τον έλεγχο των λογαριασμών της εφαρμογής, αποκτώντας απλά το email ID τους.

Όπως και το OAuth 2.0, το “Sign in with Apple” βοηθά τους χρήστες να συνδέονται σε εφαρμογές τρίτων γρηγορότερα, χωρίς να χρειάζεται να συμπληρώνουν πολλά στοιχεία, χρησιμοποιώντας απλά το Apple ID τους.

Η συγκεκριμένη λειτουργία, χρησιμοποιείται από χιλιάδες χρήστες για να συνδεθούν σε εφαρμογές τρίτων όπως οι Dropbox, Spotify, Airbnb, Giphy και το σφάλμα έχει χαρακτηριστεί ως «κρίσιμο» καθώς θα μπορούσε να επιτρέψει τον πλήρη έλεγχο ενός λογαριασμού από απομακρυσμένους εισβολείς.

Ο Bhavuk Jain, ο ερευνητής ασφαλείας από την Ινδία που ανακάλυψε πρώτος αυτό το σφάλμα, το ανέφερε άμεσα στην Apple, λέγοντας ότι: «Η επιτυχής εκμετάλλευση του σφάλματος θα μπορούσε να είχε ως αποτέλεσμα την πλήρη ανάληψη του ελέγχου λογαριασμών χρηστών σε αυτήν την εφαρμογή τρίτου μέρους, ανεξάρτητα από το αν ένα θύμα έχει έγκυρο Apple ID ή όχι».

#secnews #comet 

Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη. Η ιδέα ότι οι κομήτες παρέδωσαν νερό στην πρώιμη Γη δεν ευνοήθηκε την τελευταία δεκαετία, αλλά μια νέα ματιά στα δεδομένα από την αποστολή Rosetta της Ευρωπαϊκής Διαστημικής Υπηρεσίας (ESA) σε έναν εμβληματικό κομήτη, άνοιξε ξανά αυτή την πιθανότητα. Το πώς όλο αυτό το νερό κατέληξε στη Γη ωστόσο, παρέμεινε ένα μυστήριο. Μερικοί επιστήμονες πιστεύουν ότι αν και οι γεωλογικές διεργασίες της Γης μπορεί να έχουν δημιουργήσει ένα μικροσκοπικό κλάσμα του, το μεγαλύτερο μέρος του νερού πιθανότατα μεταφέρθηκε από κομήτες ή αστεροειδείς μέσω επαναλαμβανόμενων, κατακλυσμικών συγκρούσεων.

00:00 Εισαγωγή
00:26 Θεωρίες για την δημιουρία του νερού
00:55 Μορφές νερού
01:33 Κομήτες του Δία

Μάθετε περισσότερα: https://www.secnews.gr/634854/komites-epaiksan-meizona-rolo-gia-zoi-gi/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #comet

Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη. Η ιδέα ότι οι κομήτες παρέδωσαν νερό στην πρώιμη Γη δεν ευνοήθηκε την τελευταία δεκαετία, αλλά μια νέα ματιά στα δεδομένα από την αποστολή Rosetta της Ευρωπαϊκής Διαστημικής Υπηρεσίας (ESA) σε έναν εμβληματικό κομήτη, άνοιξε ξανά αυτή την πιθανότητα. Το πώς όλο αυτό το νερό κατέληξε στη Γη ωστόσο, παρέμεινε ένα μυστήριο. Μερικοί επιστήμονες πιστεύουν ότι αν και οι γεωλογικές διεργασίες της Γης μπορεί να έχουν δημιουργήσει ένα μικροσκοπικό κλάσμα του, το μεγαλύτερο μέρος του νερού πιθανότατα μεταφέρθηκε από κομήτες ή αστεροειδείς μέσω επαναλαμβανόμενων, κατακλυσμικών συγκρούσεων.

00:00 Εισαγωγή
00:26 Θεωρίες για την δημιουρία του νερού
00:55 Μορφές νερού
01:33 Κομήτες του Δία

Μάθετε περισσότερα: https://www.secnews.gr/634854/komites-epaiksan-meizona-rolo-gia-zoi-gi/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

1

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnNKeGUwV1JxZUtV

Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη

SecNewsTV 5 hours ago

#secnews #drones #pentagon 

Το Πεντάγωνο δήλωσε χθες ότι δεν γνωρίζει τι ακριβώς είναι αυτά τα μυστηριώδη drones που πετούσαν πάνω από το Νιου Τζέρσεϊ και άλλες περιοχές των βορειοανατολικών ΗΠΑ, τις τελευταίες εβδομάδες. Ανέφερε ότι δεν έχει στοιχεία που να αποδεικνύουν ότι προέρχονταν από ξένη οντότητα και δεν ήταν στρατιωτικά drones των ΗΠΑ.

Τα σχόλια έρχονται μια ημέρα μετά από μια ακρόαση στο Κογκρέσο που επικεντρώθηκε στην αυξανόμενη δραστηριότητα των drones στον αμερικανικό ουρανό.

Μάθετε περισσότερα για: Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey
https://www.secnews.gr/634751/ti-leei-pentagono-gia-mistiriodi-drones-new-jersey/

00:00 Εισαγωγή
00:18 Δηλώσεις Πενταγώνου
00:59 Ακρόαση στο Κογκρέσο και FBI
01:35 Περιορισμοί, ανησυχίες και θεωρίες

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #drones #pentagon

Το Πεντάγωνο δήλωσε χθες ότι δεν γνωρίζει τι ακριβώς είναι αυτά τα μυστηριώδη drones που πετούσαν πάνω από το Νιου Τζέρσεϊ και άλλες περιοχές των βορειοανατολικών ΗΠΑ, τις τελευταίες εβδομάδες. Ανέφερε ότι δεν έχει στοιχεία που να αποδεικνύουν ότι προέρχονταν από ξένη οντότητα και δεν ήταν στρατιωτικά drones των ΗΠΑ.

Τα σχόλια έρχονται μια ημέρα μετά από μια ακρόαση στο Κογκρέσο που επικεντρώθηκε στην αυξανόμενη δραστηριότητα των drones στον αμερικανικό ουρανό.

Μάθετε περισσότερα για: Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey
https://www.secnews.gr/634751/ti-leei-pentagono-gia-mistiriodi-drones-new-jersey/

00:00 Εισαγωγή
00:18 Δηλώσεις Πενταγώνου
00:59 Ακρόαση στο Κογκρέσο και FBI
01:35 Περιορισμοί, ανησυχίες και θεωρίες

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lnc3NGZfOW9mQmtj

Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey

SecNewsTV 10 hours ago

Σχετικά με την ευπάθεια zero-day

Όπως εξηγεί ο Jain, η Apple χρησιμοποιεί ένα JWT (JSON Web Token) που δημιουργείται από τον Apple Server, για τον έλεγχο ταυτότητας ενός χρήστη, ώστε να του παρέχει ένα ασφαλές email ID και να του επιτρέψει να συνδεθεί στην εφαρμογή τρίτου μέρους.

Ωστόσο, λόγω ακατάλληλης επικύρωσης, το σφάλμα επιτρέπει στους εισβολείς να ζητούν JWT για οποιοδήποτε email ID από την Apple και στη συνέχεια επαληθεύεται ως έγκυρο με τη χρήση του public key της Apple.

Αυτό επιτρέπει στον εισβολέα να καταχραστεί τα JWTs για να συνδεθεί με οποιοδήποτε email ID και να αποκτήσει πρόσβαση στον λογαριασμό τρίτου μέρους του θύματος.

Ο Jain επιβεβαίωσε επίσης ότι το σφάλμα μπορεί να αξιοποιηθεί και από τον λογαριασμό του χρήστη, καθώς η Apple δημιουργεί το δικό της email ID για κάθε χρήστη.

Η Apple επιβράβευσε με $ 100,000 τον ερευνητή για την αναφορά που έκανε σχετικά με το κρίσιμο αυτό σφάλμα. Η ομάδα ασφαλείας της Apple επιβεβαίωσε ότι το σφάλμα δεν χρησιμοποιήθηκε από κανένα κακόβουλο παράγοντα, έπειτα από έρευνα που πραγματοποίησε και τώρα έχει επιδιορθωθεί.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS