Zavřít reklamu

Ač většina společností disponuje vlastními testery, hromadná migrace do online prostředí a implementace nejrůznějších systémů často znamená také celou řadu chyb, které tyto kroky vstříc budoucnosti doprovázejí. V posledních letech se tak objevuje čím dál tím více takzvaných Bug Bounty programů, které šikovným vývojářům zajistí pěknou odměnu v případě, že se jim podaří nalézt nějakou závažnou chybu v kódu, jež by mohla posloužit útočníkům jako přístupový bod, nebo by potenciálně narušila integritu infrastruktury. Výjimkou není ani Apple, který za nalezení chyby v autorizačním systému Sign in with Apple věnoval vývojáři 100 tisíc dolarů.

Když nemáte dostatek specializovaných zaměstnanců, zapojte komunitu. Alespoň tak zní nové heslo většiny korporací a velkých technologických společností, které v posledních letech do práce zapřáhli také počítačové nadšence, jenž mají zálibu v hledání chyb. Dohlédnout na perfektně vyladěný a bezchybný systém je totiž takřka nadlidský úkol, čehož si jsou vědomi i představitelé těchto společností. Řešení je v tomto případě nasnadě, a to pozitivně motivovat fanoušky, kteří se budou na opravě chyb aktivně podílet, respektive na ně budou náležitě upozorňovat. Tyto programy, většinou nazývané jako Bug Bounty, mají zajistit především prevenci systémových děr a rychlou opravu závažných chyb, jež by mohly posloužit potenciálním útočníkům jako zadní vrátka. Zářným příkladem je i Apple, který v roce 2019 uvedl do provozu alternativu ke klasickému přihlašování pomocí Facebooku a Googlu. A jak má již jablečná společnost ve zvyku, celý autorizační proces je maximálně zabezpečený a především dbá na soukromí a citlivá data uživatelů. Ani tak ale bohužel není možné započítat všechny proměnné, což vedlo k opominutí nebezpečné bezpečnostní díry.

Tu objevil v dubnu vývojář Bhavuk Jain, který se zaměřuje zejména na informační bezpečnost. Z důvodu utajení informací tak byla tato zpráva zveřejněna až v sobotu, tedy těsně poté, co programátoři v Applu chybu opravili a otestovali, zda ji nelze zneužít. Na první pohled přehlédnutelná systémová díra totiž umožňovala kompletně převzít kontrolu nad účtem uživatele, a to pomocí aplikací třetích stran, kam se dotyčný pokoušel pomocí svého Apple ID přihlásit. Celý systém Sign-in with Apple totiž funguje na poměrně jednoduché bázi a využívá JSON Web Token, tedy autorizační kód, který je automaticky vygenerován nejdříve systémem jablečné společnosti a následně je na jeho základě určeno, jaká data jsou aplikaci třetí strany předána. Uživatel si tak sám může vybrat, zda chce s danou webovou stránkou sdílet svůj pravý e-mail, nebo nechat vygenerovat jakousi náhradu, která omezí výměnu informací na minimum. Problém byl však v tom, že bylo možné tento specifický JSON Web Token odchytit a jednoduše účet autorizovat, aniž by o tom měl uživatel tušení. Naštěstí ale Jain rychle zasáhl, Apple chybu opravil a šikovný vývojář si domů odnesl 100 tisíc dolarů. Nezbývá tedy než doufat, že se podobných chyb v systému nevyskytuje více.

Dnes nejčtenější

Další články