Developer dobio 100.000 dolara za otkrivanje Appleovog buga

Developer dobio 100.000 dolara za otkrivanje Appleovog buga

Indijski developer Bhavuk Jain pohvalio se s nagradom od 100.000 dolara koju je dobio od Applea, odnosno Appleovog Security Bounty programa.

Jain je na svom blogu objasnio kako je u travnju pronašao zero-day, odnosno još nepoznatu ranjivost u Sign in with Apple opciji za logiranje. Ranjivost je bila moguća u situacijama kad Appleovo logiranje koriste third party aplikacije koje nisu implementirale vlastite dodatne mjere sigurnosti. Ovaj bug mogao je dovesti do potpunog preuzimanja accounta, samo na osnovu posjedovanja nečijeg email ID-a.

Problem je bio u proceduri koja korisnicima omogućuje nedijeljenje svog email ID-a s third party aplikacijom, a koja je imala propust kojeg je dodatno pojasnio TheHackerNews, a to je da se nije provjeravalo je li osoba koja se prvotno prijavila ista kao i ona za koju se od Applea traži kreiranje JSON Web Tokena. Provjera Appleovog tima pokazala je kako ovaj nedostatak u praksi nije bio zloupotrijebljen.

Appleov Security Bounty program developere koji prijave značajne sigurnosne probleme nagrađuje s nagradama u visini od pet tisuća do milijun dolara. Slične programe imaju i Facebook i Google, a osim od njih, Jain je do sada dobio nagrade i od Yahooa, Graba, Stackoverflowa, Pinteresta i drugih.