Ač většina společností disponuje vlastními testery, hromadná migrace do online prostředí a implementace nejrůznějších systémů často znamená také celou řadu chyb, které tyto kroky vstříc budoucnosti doprovázejí. V posledních letech se tak objevuje čím dál tím více takzvaných Bug Bounty programů, které šikovným vývojářům zajistí pěknou odměnu v případě, že se jim podaří nalézt nějakou závažnou chybu v kódu, jež by mohla posloužit útočníkům jako přístupový bod, nebo by potenciálně narušila integritu infrastruktury. Výjimkou není ani Apple, který za nalezení chyby v autorizačním systému Sign in with Apple věnoval vývojáři 100 tisíc dolarů.
Fotogalerie
Když nemáte dostatek specializovaných zaměstnanců, zapojte komunitu. Alespoň tak zní nové heslo většiny korporací a velkých technologických společností, které v posledních letech do práce zapřáhli také počítačové nadšence, jenž mají zálibu v hledání chyb. Dohlédnout na perfektně vyladěný a bezchybný systém je totiž takřka nadlidský úkol, čehož si jsou vědomi i představitelé těchto společností. Řešení je v tomto případě nasnadě, a to pozitivně motivovat fanoušky, kteří se budou na opravě chyb aktivně podílet, respektive na ně budou náležitě upozorňovat. Tyto programy, většinou nazývané jako Bug Bounty, mají zajistit především prevenci systémových děr a rychlou opravu závažných chyb, jež by mohly posloužit potenciálním útočníkům jako zadní vrátka. Zářným příkladem je i Apple, který v roce 2019 uvedl do provozu alternativu ke klasickému přihlašování pomocí Facebooku a Googlu. A jak má již jablečná společnost ve zvyku, celý autorizační proces je maximálně zabezpečený a především dbá na soukromí a citlivá data uživatelů. Ani tak ale bohužel není možné započítat všechny proměnné, což vedlo k opominutí nebezpečné bezpečnostní díry.
Mohlo by vás zajímat
Tu objevil v dubnu vývojář Bhavuk Jain, který se zaměřuje zejména na informační bezpečnost. Z důvodu utajení informací tak byla tato zpráva zveřejněna až v sobotu, tedy těsně poté, co programátoři v Applu chybu opravili a otestovali, zda ji nelze zneužít. Na první pohled přehlédnutelná systémová díra totiž umožňovala kompletně převzít kontrolu nad účtem uživatele, a to pomocí aplikací třetích stran, kam se dotyčný pokoušel pomocí svého Apple ID přihlásit. Celý systém Sign-in with Apple totiž funguje na poměrně jednoduché bázi a využívá JSON Web Token, tedy autorizační kód, který je automaticky vygenerován nejdříve systémem jablečné společnosti a následně je na jeho základě určeno, jaká data jsou aplikaci třetí strany předána. Uživatel si tak sám může vybrat, zda chce s danou webovou stránkou sdílet svůj pravý e-mail, nebo nechat vygenerovat jakousi náhradu, která omezí výměnu informací na minimum. Problém byl však v tom, že bylo možné tento specifický JSON Web Token odchytit a jednoduše účet autorizovat, aniž by o tom měl uživatel tušení. Naštěstí ale Jain rychle zasáhl, Apple chybu opravil a šikovný vývojář si domů odnesl 100 tisíc dolarů. Nezbývá tedy než doufat, že se podobných chyb v systému nevyskytuje více.
Ja som si do teraz myslel, ze to Sign in with Apple nakoniec nespustili. Nikdy mi tuto moznost pri vytvarani nejakeho konta neponuklo. Alebo je to regionalne? Ci ako to funguje?