В 2019-м компания Apple представила собственную систему авторизации Sign in with Apple в качестве альтернативы длинным паролям и данным аккаунтов социальных сетей. Но в ходе недавнего изучения нового алгоритма специалисты по кибербезопасности нашли в этом методе критическую уязвимость, и сообщили о возможности «угона» учётных записей владельцев iOS-гаджетов.
Исследователь Бхавук Джайн в процессе изучения алгоритма авторизации «Вход с Apple» обнаружил, что используя уязвимости в системе, злоумышленники могли получить несанкционированный доступ к приложениям и конфиденциальной пользовательской информации. По его словам, такая «дыра» могла привести к перехвату учётных записей Apple ID на устройствах под управлением iOS.
Сама функция работает аналогично OAuth 2.0. Существует два возможных способа аутентификации: с помощью JWT (JSON Web Token) или кода, сгенерированного сервером Apple, который затем используется для генерации JWT. Эксперт заметил, что может запросить JWT для любого идентификатора электронной почты, и когда подпись этих токенов была проверена с использованием открытого ключа Apple, они оказались действительными. Это означает, что злоумышленник может подделать JWT, связав с ним любой идентификатор электронной почты и получив доступ к учётной записи жертвы.
«Обнаруженная уязвимость особенно критична, поскольку её использование хакерами могло привести к тому, что пользователь мог полностью утратить контроль над личной учётной записью. Учитывая, что Apple сделала подобную авторизацию обязательной для приложений из App Store, потенциальная аудитория уязвимых пользователей внушительна», — заявил специалист.
Сама уязвимость была обнаружена в апреле 2020 года. По заявлению представителей Apple, разработчики компании оперативно пересмотрели алгоритмы авторизации и уже успели её устранить. Кроме того, они заверили, что за время работы функции Sign in with Apple не произошло ни одной утечки или попытки взлома пользовательских аккаунтов Apple ID.
Источник:
Из-за количества дерьма в комментариях?
из-за оправдания собственной лени и невозможности заработать хорошие деньги, необходимые для приобретения техники эпл
Скажите это 1+ аппаратам за 70к. Так говорите, как будто в "дешевом" андроиде всё с безопасностью ок. Лицемерие однако.
Покупать китайфон за 70к это отдельный вид мазохизма)
То есть, по твоему, если телефон китайский, то покупать его - это мазохизм? Иметь бы смартфонам хотя бы А бренда такие же характеристики, как у 8 Pro, а цена, по сравнению с конкурентами, у него приемлемая
В мелочах он далёк от А бренда и у него куча типичных китайских болячек.
Будто бы у А бренда нет болячек. Чем же Китаю далеко до них? Они хотя бы не разделены версиями на Exynos и Snapdragon. Такие же болячки есть и у них, в некоторых местах даже больше
При этом подавляющее юольшинство яблочников покупает б/у Айфон 7/8. Успешные люди однако
Ну после таких слов вы готовы предоставить пруф на статистику?
Пруф в маршрутках и метро.
1) как вы определяете б/у ли у владельца смартфон?
2) какое вообще отношение общ транспорт имеет к достатку человека? Это удобный вид транспорта, который доступен для любой прослойки общества, а во время не продуманности автомобильного потока еще и единственный способ доехать из точки А до точки Б.
В апреле были новости, что спрос на б/у смартфоны в России выросли на 60%, можете поискать в 4пда.
И среди них по-любому есть айфоны, занимающие 1-2 место
> И среди них по-любому есть айфоны, занимающие 1-2 место
Как и другие флагманы.
> что спрос на б/у смартфоны в России выросли
Как и на автомобили. Нынешняя экономическая ситуация приводит людей к продажи смартфонов по ряду причин, в том числе чтобы получить деньги. Ну и Apple электроника лучше ценится на б/у рынке.
Легко, айфоны 4-5-6-7 уже не производятся. На счет 8х не уверен, т.к. он такой же как новомодный СЕ. Судя по отзывам - не взлетел.
То есть вы видя смартфон старой модели, сразу берете в расчет что это б/у?
А вас не посещала мысль, что:
1) люди пользуются смартфонами по 4-5 лет
2) у магазинов большой запас новых моделей тех поколений
Я даже у себя в маленьком закрытом городе чаще вижу айфоны с чёлками. А в той же Москве тем более
Я сижу в десятке пабликов где люди просят советы по покупке смартфонов и людейч которые берут хотя бы X - мизер, а 7/8 чуть ли не каждый день
Да хоть в 10 000, на общее число пользователей это капля в океане.
То-то тут недавно топ смартфонов с которых заходят на яндекс на первом месте был Айфон 7, да-да
Ну семерка не лагает, влагозащита есть, стереозвук есть. Зачем человеку менять свой айфон, если текущий устраивает? У меня родственник переехав в Мск сразу квартиру на 2 садовом за 10 миллионов взял. А ходит со старой семеркой уже 4 год. Меня мой 6s Plus тоже полностью устраивает, минимум ещё год буду ходить с ним, пока 12 не выйдет.
И? Как из одно вытекает другое?
Смартфоны меняют раз в 3-5 лет.
Новых iPhone предыдущих поколений на складах у магазинов еще много.
Идем и гуглим iPhone 7 новый можно за 20-25 т.р. купить.
С вашей логикой - на форуме куча тем выбора бюджетных Android, следовательно... «При этом подавляющее большинство пользователей android а покупает бюджетки. Успешные люди однако»
Всегда забавно смотреть, как отбитые фанатики с пеной у рта защищают свой культ (преимущественно эппл, так как все их аргументы сводятся к "я купил, а ты, наверное не можешь. Я молодец")🙂
И почему му же тогда подобные грубые комментарии пишут именно те, кто называют других «фанатиками»?
Не грубые, а констатирующие факт.
Потому, что сами фанатики, вряд ли осмелятся признать свои мозги промытыми.
> констатирующие факт
А где пруф доказывающий факт?
Вот идем в темы с подобным содержанием и читаем, читаем и много раз читаем какие «адекватные» авторы подобных комментариев, а потом еще читаем их дату регистрации и узнаем что они на столько «объективные», что местные правила переодически заставляют их менять аккаунты.
> осмелятся признать свои мозги промытыми
И в чем заключается ошибка суждения человека, которому нравиться что то больше другого? Вот как раз грубые потуги оспорить что то - выдают в себе «необъективность» и т.п.
Так а товарищ, villermont, разве не издал грубые потуги? ("не может зарабатывать хорошие деньги, для покупки техники эпл"). Если одно нравиться больше другого, зачем людей делить на классы и касты, и ставить одних выше других? И каким образом устройство в руках человека, характеризует его ум и благосостояние?
Так и пост был адресован к одному из основных минусов - цене устройства. Да жестко, но без оскорблений.
> зачем людей делить на классы и касты, и ставить одних выше других
Где автор выделял какие то классы или касты?
~ из-за оправдания собственной лени и невозможности заработать хорошие деньги, необходимые для приобретения техники эпл~
Додумали сами?
>И каким образом устройство в руках человека
Спросите это тех кто так пишет, в теме про Apple таких много.
Те кто могут себе позволить, но берут другие по своим причинам, не судят по цене.
Ага, первый раз такое с яблоком.
ага, а когда и который раз там эппл перезагружался из-за кучки символов?))
В обоине просто использовали несовместимый ргб код, да и то не все почему-то смарты подвержены этой болезни.
А вы не злорадствуете, вписав тонну из воздуха, а в качестве "прувов" свой хейт ведра вставляете?
Увы, я не злорадствую, т.к. понимаю что косяки бывают у всех разработчиков. Но не понимаю , почему пользователи андроида бьются в истерическом смехе , когда всплывают плохие новости про apple
Не знаю. Раньше хейтил эпл потому что дорого и ограничено. Щас просто никогда не вписывается в фильтр, т.к. "наличие слота для sd карты" автоматически эпл выкидает из списка. Не говоря уже о том, что он выкинится автоматически, если еще фильтрануть по "цене - характеристики". А оська какая будет пофиг. Уже и в винде был, ведре был, линаксе был и чуточку в эпле был.
Третий телефон беру с встроенной 256 памяти, про карты забыл как издержки прошлого. Фотки все сразу в облако гугл фото улетают, музыка онлайн. Даже если все скачивать то хватит за глаза. У одного только телеграма кэш по 5 гигов и на всё хватает
Облаком для хранения не пользуюсь, он у меня только для расшаривания.
Контент с облака, с которым удобно работать, ограничен (фото и видео) т.к. любая прога должна своими силами с облаком работать, а не через обращение к операционной системе. С сд картой требования от проги только уметь обращаться к файловой системе.
По поводу быстроты карты... Тут nintendo switch с сд картой справляется. А там нагрузка на память в разы ваше, чем фотку открывать или в социалке чатится.
Легко. По работе доки. По играм ромы на эмули. По видео бекапы с тытрубы на случаи их удаления и так далее. Итого сд карта забивается, а встроенную можно было хоть на 32 ГБ вставлять.
А еще кстати удивительно то, что если сд карты никому не нужны, то как они продаются да и еще так за дешево? Значит массовый спрос есть.
Также этот же фильтр "наличие sd карты" автоматически выкидывает флагманы т.к. там не принято непримиальную память вставлять. Итого середнячки у меня рулят.
Покупаешь флагман с 256гб и не знаешь проблем с памятью.
Я тоже не имею проблем с сд картой на 512 ГБ. Встроенная особо не нужна, лишь бы на память прог хватило.
абсолютно также, как эппловоды это делают под всеми другими новостями. Благо что на форуме стали меньше гадить, ну либо они ушли из тех тем, где я сижу)
Ну те, кто ловит вирусы, пусть идут на IOS. Я за все время использования ведра ни одного вируса не смог поймать, хотя плей защита отключена и полей маркетом я пользуюсь редко.
Ну да, ну да. Поэтому просто из офф магазина google можно скачать спамера.
Если смартфон не включать или пользоваться в рамках стандартных задач то конечно вирусы не встретишь.
Мне кажется, что те, кому от смартфона многого не надо, не проводят время на форумах)
уязвимости в Андроиде отличаются тем, что зачастую для Андроида сначала нужно самостоятельно установить какое-нибудь приложение. В операционках же от Apple всё встроено изначально.
Новость ради новости. Кхм.. то есть ради бабла
Комментарии подобных новостей похожи на отхожие места, видимо только для того их пишут, чтобы озлобленные фанаты андроида «облегчились»
обычно с критическими багами принято сначала оповестить разработчика, а по истечении определенного срока, во время которого баг закрывают, можно опубликовать. Так что это не новость запоздала, а все отработали как надо. Иначе бы кучу учеток могли угнать при рабочем баге
Тогда какой смысл публиковать информацию про давно закрытый баг? Ну закрыли и закрыли, можно и забыть что он вообще был.
Скорее всего опубликовали, т.к. она на Хабре утром вышла.
Мне больше интересно, почему Хабр не указан в источниках, учитывая то, что часть новости просто взяли оттуда и заменили пару слов.
habr com/ru/news/t/504738/
Особенно абзацы про JWT. Может автор как-то прокомментирует это?
Потому что это 4pda, полностью оригинальные новости можно посчитать по пальцам, обычно это либо google переводчик, либо вот такой копипаст.