אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
אפל מודה: התגלתה פרצה חמורה במנגנון ההזדהות של החברה צילום: איי פי

אפל מודה: התגלתה פרצה חמורה במנגנון ההזדהות של החברה

החברה אישרה אמש כי במגנון ההזדהות Sign in with Apple התגלתה פרצת אבטחה שאפשרה להאקרים להיכנס לחשבון המשתמשים ולדלות מידע. לטענת החברה - הפרצה נחסמה

31.05.2020, 15:43 | רפאל קאהאן
אפל אישרה אמש (ש') שהתקיימה פרצה חמורה במנגנון ההזדהות שלה - Sign in with Apple - שמשמש לרישום והזדהות באתרים ושירותי אינטרנט. המערכת שמקבילה להזדהות דרך גוגל או פייסבוק מיועדת לאפשר למשתמש להירשם ולהזדהות במהירות בחשבונות מקוונים באתרים, אפליקציות או לההזדהות מול שירותים כגון מייל ורשתות חברתיות.

קראו עוד בכלכליסט

על פי דיווח של אתר Hacker News אתמול (שבת) הפרצה אפשרה להאקר לעקוף את מנגנון ההזדהות ולהיכנס לחשבון המשתמשים ולדלות מידע. החולשה היתה קיימת בכל האמצעים שאיפשרו להזדהות עם המנגנון. מנגנון ההזדהות הושק בשנה שעברה בכנס המפתחים של החברה ושווק כאמצעי הזדהות ששומר על פרטיות המשתמשים, זאת בניגוד לפלטפורמות המקבילות של גוגל, פייסבוק וטוויטר שמעבירות מידע על פעילות המשתמש למפעילות שלהן ואף לגורמי צד שלישי.
טים קוק, מנכ"ל אפל, צילום: איי פי טים קוק, מנכ"ל אפל | צילום: איי פי טים קוק, מנכ"ל אפל, צילום: איי פי

מנגנוני הזדהות כגון אלה הפכו למאוד פופולריים בשנים האחרונות בזכות שני יתרונות. הם מאפשרים להירשם ללא תהליך רישום מעיק לעיתים ובנוסף מונעים את העברת הפרטים המדויקים של המשתמש לשירות אליו הוא נרשם. מנגד, הם מהווים בחלק מהמקרים אמצעי עבור המפעילות לקבל מידע נוסף על המשתמש ומרכזים את כל השליטה עליו.

חוקר הסייבר, בהווק ג'יין ההודי, שזיהה את הפרצה קיבל תמורתה כ-100 אלף דולר מאפל. החולשה שחשף נמצאה במנגנון של אפל שמאשר את זהות המשתמש מול שרתי החברה לפני מועברת בקשת ההזדהות לשירות האינטרנט החיצוני. זה לא ביצע את אישור הזהות הנדרש של בעל חשבון אפל ID לפני שהעביר את פרטי ההתחברות לשירות החיצוני.

ניצול של החולשה בידי האקר היתה מאפשרת לתוקף להשתיל מידע הזדהות על חשבון אפל ID אחר. מאותו הרגע, ההאקר היה מסוגל לקבל הרשאות משתמש שוטפות, לשנות את פרטי החשבון ולתפוס עליו פיקוד. לא מעט ספקי שירות הטמיעו את פתרון ההזדהות של אפל בשירותיהם כגון: דרופבוקס, ספוטיפיי, Airbnb או גיפי (שנרכשה לאחרונה בידי פייסבוק).

הדרך היחידה להתמודד עם בעיה מהסוג הזה היא להשתמש בפתרון אימות דו-שלבי השדורש אישור כניסה נוסף מצד המשתמש. החולשה דווחה בחודש שעבר ואפל חסמה אותה בהקדם כך שכעת ניתן להשתמש בהזדהות של החברה ללא חשש.

תגיות