Apple исправила уязвимость кнопки Sign in with Apple, которая позволяла злоумышленникам авторизоваться на сайтах через аккаунт жертвы с помощью поддельного токена JSON.

Проблему обнаружил индийский хакер Бхавук Джайн. За это он получил от Apple $100 тысяч.

Компания не нашла доказательств использования уязвимости в реальной жизни.

Sign in with Apple flaw allowed unauthorized access to linked services, now fixed — 9to5Mac

A now-patched vulnerability in Sign in with Apple let attackers access user accounts at linked third-party services. The flaw was discovered by researcher Bhavuk Jain, who reported the problem to Apple through the company?s bug bounty program. As detailed by The Hacker News, the vulnerability relied on how Apple validated users ?on the client side ?

9to5mac.com

Источник