Krivotvoreni tokeni omogućili bi pristup gotovo bilo kojem nalogu.
„Prijava sa Apple-om“ potencijalno je privatnija od ostalih opcija za prijavljivanje, ali očigledno sadrži ozbiljan propust u bezbijednosti. Istraživač Bhavuk Jain nedavno je dobio nagradu za greške u iznosu od 100 000 USD zbog otkrivanja (putem Hacker News) propusta u usluzi prijavljivanja kada je dostupan preko trećih aplikacija. Ako aplikacija nije imala sopstvene mjere zaštite, napadač može da krivotvori token povezan sa bilo kojim ID-om e-pošte i potvrdi ga kao „validan“ Apple-ovim javnim ključem. To bi moglo omogućiti „potpuno preuzimanje računa“ čak i ako odlučite da sakrijete e-poštu od drugih servisa, rekao je Jain.
Jain je propustio u aprilu i to je već ispravljeno. Apple je rekao da nema dokaza da su računi ugroženi kao rezultat propusta.
Kao rezultat toga, ne bi trebalo biti oštećenja. Ipak, greška vjerovatno nije ono što je Apple želio da uhvati u koštac sa nizom bezbjednosnih problema, uključujući raniju ranjivost pošte. Pitanja se brzo rješavaju - pitanje je da li može smanjiti ta pitanja koja napreduju ili ne.
Izvor: Engadget