اكتشف الباحث Bhavuk Jain عيبًا جديدًا في جهاز “Connect with Apple”. في المقابل كافأته علامة أبل التجارية بمبلغ 100.000 دولار كجزء من برنامج Bug Bounty.
في نهاية عام 2019، افتتحت شركة آبل رسميًا برنامج مكافأت لجميع الباحثين في مجال الأمن، و بعد الإعلان عن إطلاقها قبل أربع سنوات خصصت أبل مكافأة للباحثين الذين يجدون ثغرات أمنية لم يتم اكتشافها من قبل، على منتجات أبل، يمكن أن تصل إلى عدة آلاف من الدولارات.
100.000 دولار لاكتشاف هذا العيب
اكتشف الباحث Bhavuk Jain خلل يتعلق بجهاز “الاتصال بأبل“. ويوضح أن أي شخص يمكنه تزوير رمز مميز من أجل تسجيل الدخول باستخدام هذا النظام دون الحاجة إلى أي تحقق. قد يتعلق هذا بتطبيقات الطرف الثالث.
يشرح الباحث في مدونته بمزيد من التفصيل: “عندما تم التحقق من توقيع هذه الرموز المميزة باستخدام مفتاح أبل العام، ثبت أنها صالحة. هذا يعني أن المهاجم يمكنه تزوير JSON Web Token من خلال ربط أي معرف بريد إلكتروني به والوصول إلى حساب الضحية. “
يضيف Bhavuk Jain: “كان تأثير هذه الثغرة الأمنية شديد الأهمية لأنه كان يمكن أن يسمح بتخصيص الحساب بالكامل. قام العديد من المطورين بدمج الاتصال مع أبل، لأنه إلزامي للتطبيقات التي تدعم الاتصالات الاجتماعية الأخرى “، مثل سبوتيفاي أو Airbnb أو غيرها.
ومع ذلك، فقد قامت أبل بالتحقيق ولا يبدو أن الثغرات قد تم استغلالها من قبل أشخاص ضارين. منذ ذلك الحين، تم تصحيحها من قبل الشركة الأمريكية.
من جانبه، حصل Bhavuk Jain على 100.000 دولار مقابل الإبلاغ عن هذا الخلل الجديد، وهو ما يكفي لتشجيع الباحثين الآخرين على القيام بنفس الشيء في المستقبل. يمكن أن تتراوح مكافآت علامة أبل التجارية من 100.000 دولار إلى 1 مليون دولار اعتمادًا على أهميتها.