导读 新德里:将向总部位于德里的安全研究员支付10万$或约75万卢比,以报告新的“与苹果签约”功能中的一个关键安全错误。 这个“功能”是用13
新德里:将向总部位于德里的安全研究员支付10万$或约75万卢比,以报告新的“与苹果签约”功能中的一个关键安全错误。 这个“功能”是用13,iPadOS13,MacOSCatalina,WatchOS6和TVOS13引入的。
苹果希望在使用第三方应用程序和网站时,给用户更多的隐私。 而不是用户的电子邮件ID,“与苹果签署”功能登录应用程序与苹果ID。 他在一次与被问及问题严重程度时的互动中说:“它允许第三方应用程序在使用Sign in with Apple时进行潜在的考虑,不管他们是否是苹果用户。 “如果我说,你的电子邮件ID是我需要接管你最喜欢的网站或应用的帐户。 听起来很吓人,对吧? 这就是苹果公司的一个bug让我做的。这一错误可能导致对该第三方应用程序的用户帐户进行全面的帐户接管,而不管受害者是否有有效的苹果ID。 来自北方邦技术大学的电子和通信工程技术。 在过去三年里,Jain一直是全职的bug奖金,并被Facebook、雅虎、谷歌、Grab、Stackoverflow和Pinterest授予寻找安全漏洞的称号。 杰恩声称,在“与苹果签约”中的bug搜索过程听起来相当简单。 “坦率地说,我花了一天时间,”他说。 当被问及苹果如何可能忽略这样一个基本的bug时,他说:“这种bug很少存在。 但有时,基本问题被忽视。 也许苹果不认为这是可能的。 在承认了这份报告之后,它在几个小时内就被修复了。 就奖金而言,在他向苹果报告奖金之前,Jain没有任何关于奖金的信息。 他说:“在问题解决后,他们告诉我奖金数额(10万$),付款正在处理中。