אפל מודה: התגלתה פרצה חמורה במנגנון ההזדהות של החברה
החברה אישרה אמש כי במגנון ההזדהות Sign in with Apple התגלתה פרצת אבטחה שאפשרה להאקרים להיכנס לחשבון המשתמשים ולדלות מידע. לטענת החברה - הפרצה נחסמה
- אפל גברה על נטפליקס: תשדר את הסרט הבא של מרטין סקורסזה
- מכה לאפל: האקרים פרסמו כלי לפריצת כל דגמי האייפון
- אייפון SE מודל 2020: על מה אתם מוותרים כשאתם קונים אייפון מוזל?
על פי דיווח של אתר Hacker News אתמול (שבת) הפרצה אפשרה להאקר לעקוף את מנגנון ההזדהות ולהיכנס לחשבון המשתמשים ולדלות מידע. החולשה היתה קיימת בכל האמצעים שאיפשרו להזדהות עם המנגנון. מנגנון ההזדהות הושק בשנה שעברה בכנס המפתחים של החברה ושווק כאמצעי הזדהות ששומר על פרטיות המשתמשים, זאת בניגוד לפלטפורמות המקבילות של גוגל, פייסבוק וטוויטר שמעבירות מידע על פעילות המשתמש למפעילות שלהן ואף לגורמי צד שלישי.
מנגנוני הזדהות כגון אלה הפכו למאוד פופולריים בשנים האחרונות בזכות שני יתרונות. הם מאפשרים להירשם ללא תהליך רישום מעיק לעיתים ובנוסף מונעים את העברת הפרטים המדויקים של המשתמש לשירות אליו הוא נרשם. מנגד, הם מהווים בחלק מהמקרים אמצעי עבור המפעילות לקבל מידע נוסף על המשתמש ומרכזים את כל השליטה עליו.
חוקר הסייבר, בהווק ג'יין ההודי, שזיהה את הפרצה קיבל תמורתה כ-100 אלף דולר מאפל. החולשה שחשף נמצאה במנגנון של אפל שמאשר את זהות המשתמש מול שרתי החברה לפני מועברת בקשת ההזדהות לשירות האינטרנט החיצוני. זה לא ביצע את אישור הזהות הנדרש של בעל חשבון אפל ID לפני שהעביר את פרטי ההתחברות לשירות החיצוני.
ניצול של החולשה בידי האקר היתה מאפשרת לתוקף להשתיל מידע הזדהות על חשבון אפל ID אחר. מאותו הרגע, ההאקר היה מסוגל לקבל הרשאות משתמש שוטפות, לשנות את פרטי החשבון ולתפוס עליו פיקוד. לא מעט ספקי שירות הטמיעו את פתרון ההזדהות של אפל בשירותיהם כגון: דרופבוקס, ספוטיפיי, Airbnb או גיפי (שנרכשה לאחרונה בידי פייסבוק).
הדרך היחידה להתמודד עם בעיה מהסוג הזה היא להשתמש בפתרון אימות דו-שלבי השדורש אישור כניסה נוסף מצד המשתמש. החולשה דווחה בחודש שעבר ואפל חסמה אותה בהקדם כך שכעת ניתן להשתמש בהזדהות של החברה ללא חשש.