Indian developer wins Rs. 75 lakh from Apple for finding critical sign in in with Apple bug, ऐप्पल को कमी बताई और डेवलपर की हो गई करीब 75 लाख रुपये की कमाई

Apple ने कथित तौर पर भारतीय डेवलपर को $100,000 (लगभग 75.3 लाख) रुपये की राशि दी है। दरअसल, कहा जा रहा है कि इस भारतीय डेवलपर ने ऐप्पल के डिवाइस की ‘Sign in With Apple’ प्रक्रिया में बग ढूंढ निकाला था, इस वजह से ऐप्पल ने उसे 75 लाख रुपये दिए।

ख़ास बातें

भारतीय डेवलपर ने ढूंढ निकाला Apple में बग
ऐप्पल ने माना कि यह कमी मौज़ूद थी
आसानी से हैक हो सकता था ऐप्पल यूज़र का अकाउंट

Apple ने कथित तौर पर भारतीय डेवलपर को $100,000 (लगभग 75.3 लाख) रुपये की राशि दी है। दरअसल, कहा जा रहा है कि इस भारतीय डेवलपर ने ऐप्पल के डिवाइस की ‘Sign in With Apple' प्रक्रिया में बग ढूंढ निकाला था, इस वजह से ऐप्पल ने उसे करीब 75 लाख रुपये दिए। 27 वर्षीय इस डेवलपर का नाम भावुक जैन है। भावुक ने 'साइन-इन विद ऐप्पल' प्रक्रिया में Zero Day bug ढूंढ निकाला था, जिसके जरिए हैकर्स साइन इन करने वाले ऐप्पल यूज़र्स का अकाउंट एक्सेस कर सकते थे। कंपनी ने इस बग को स्वीकारा, और कहा कि जांच के बाद इसे ठीक कर दिया गया है। हालांकि, कंपनी ने यह भी कहा कि इस बग का फायदा नहीं उठाया गया है।

What is ‘Sign in with Apple'?

जैन ने 30 मई के अपने ब्लॉग पोस्ट में खुलासा किया कि उन्होंने Apple के इस ‘Sign in with Apple' प्रक्रिया में बग अप्रैल में खोज निकाला था। साइन इन विद ऐप्पल फीचर को पिछले साल जून में पेश किया गया था। यह फीचर ऐप्पल अकाउंट होल्डर्स को थर्ड पार्टी ऐप में साइन-इन करने की इज़ाजत देता है, वो भी बिना ईमेल आईडी साझा किए। यह JSON Web Token (JWT) जनरेट करने की प्रक्रिया है, जिसमें थर्ड पार्टी ऐप के द्वारा यूज़र्स की पहचान करने की जानकारी होती है। इस फीचर को यूज़र की प्राइवेसी को बनाए रखने के मकसद से पेश किया गया था, लेकिन जैन के द्वारा ढूंढ निकाला गया ज़ीरो डे बग उनके अकाउंट अटैक की जानकारी देता है।

Sign in with Apple bug

जैन के ब्लॉग पोस्ट के मुताबिक, ऐप्पल के साथ साइन-इन करने पर यूज़र्स को अपने ऐप्पल अकाउंट के साथ लॉग-इन करने की जरूरत पड़ती है। यह पहला कदम है। दूसरा कदम में पाया गया था कि JWT से थर्ड पार्टी ऐप में जाने की रिक्वेस्ट क्या उसी यूज़र्स द्वारा की गई है, इसकी भी कोई सटीकता नहीं है। इस तरह हैकर यूज़र का अकाउंट हैक कर सकता है।

जैन ने बताया कि वह ऐप्पल की किसी भी ईमेल आईडी के जरिए JWT की रिक्वेस्ट भेज सकते हैं और जब इन टोकन के सिग्नेचर को ऐप्पल की पब्लिक की का इस्तेमाल करके वेरिफाई किया जाता है, तो इसे वैलिड दिखाया जाता है। इसका मतलब यह है कि कोई भी हैकर किसी भी ईमेल आईडी के जरिए JWT की रिक्वेस्ट भेज सकता है और किसी का भी अकाउंट एक्सेस कर सकता है। जैन ने बताया कि यह कमी काफी गंभीर है और इसके जरिए हैकर किसी के भी अकाउंट को टेकओवर कर सकता है। इसके जरिए हैकर्स यूज़र्स का पर्सनल डेटा ले सकते हैं, जिसमें लॉग-इन, क्रेडेंशियल्स, पासवर्ड और अकाउंट डिटेल्स जैसी निजी जानकारी शामिल है।

हालांकि, ज्यादातर ऐप्स इस साइन-इन प्रक्रिया को सपोर्ट नहीं करती, लेकिन यह Dropbox, Giphy, Spotify, और Airbnb पर उपलब्ध है।

Apple को कमी बताई और डेवलपर की हो गई करीब 75 लाख रुपये की कमाई

What is ‘Sign in with Apple'?

Sign in with Apple bug