होम
मोबाइल
ख़बरें
Apple को कमी बताई और डेवलपर की हो गई करीब 75 लाख रुपये की कमाई

Apple को कमी बताई और डेवलपर की हो गई करीब 75 लाख रुपये की कमाई

27 वर्षीय इस डेवलपर का नाम भावुक जैन ने 30 मई के अपने ब्लॉग पोस्ट में खुलासा किया कि उन्होंने Apple के इस ‘Sign in with Apple' प्रक्रिया में बग अप्रैल में खोज निकाला था। साइन इन विद ऐप्पल फीचर को पिछले साल जून में पेश किया गया था।

Vineet Washington, अपडेटेड: 1 जून 2020 18:50 IST

Share on Facebook Tweet Share Reddit ईमेल आपकी राय

Apple को कमी बताई और डेवलपर की हो गई करीब 75 लाख रुपये की कमाई

ख़ास बातें

भारतीय डेवलपर ने ढूंढ निकाला Apple में बग
ऐप्पल ने माना कि यह कमी मौज़ूद थी
आसानी से हैक हो सकता था ऐप्पल यूज़र का अकाउंट

Apple ने कथित तौर पर भारतीय डेवलपर को $100,000 (लगभग 75.3 लाख) रुपये की राशि दी है। दरअसल, कहा जा रहा है कि इस भारतीय डेवलपर ने ऐप्पल के डिवाइस की ‘Sign in With Apple' प्रक्रिया में बग ढूंढ निकाला था, इस वजह से ऐप्पल ने उसे करीब 75 लाख रुपये दिए। 27 वर्षीय इस डेवलपर का नाम भावुक जैन है। भावुक ने 'साइन-इन विद ऐप्पल' प्रक्रिया में Zero Day bug ढूंढ निकाला था, जिसके जरिए हैकर्स साइन इन करने वाले ऐप्पल यूज़र्स का अकाउंट एक्सेस कर सकते थे। कंपनी ने इस बग को स्वीकारा, और कहा कि जांच के बाद इसे ठीक कर दिया गया है। हालांकि, कंपनी ने यह भी कहा कि इस बग का फायदा नहीं उठाया गया है।

What is ‘Sign in with Apple'?

जैन ने 30 मई के अपने ब्लॉग पोस्ट में खुलासा किया कि उन्होंने Apple के इस ‘Sign in with Apple' प्रक्रिया में बग अप्रैल में खोज निकाला था। साइन इन विद ऐप्पल फीचर को पिछले साल जून में पेश किया गया था। यह फीचर ऐप्पल अकाउंट होल्डर्स को थर्ड पार्टी ऐप में साइन-इन करने की इज़ाजत देता है, वो भी बिना ईमेल आईडी साझा किए। यह JSON Web Token (JWT) जनरेट करने की प्रक्रिया है, जिसमें थर्ड पार्टी ऐप के द्वारा यूज़र्स की पहचान करने की जानकारी होती है। इस फीचर को यूज़र की प्राइवेसी को बनाए रखने के मकसद से पेश किया गया था, लेकिन जैन के द्वारा ढूंढ निकाला गया ज़ीरो डे बग उनके अकाउंट अटैक की जानकारी देता है।

Sign in with Apple bug

जैन के ब्लॉग पोस्ट के मुताबिक, ऐप्पल के साथ साइन-इन करने पर यूज़र्स को अपने ऐप्पल अकाउंट के साथ लॉग-इन करने की जरूरत पड़ती है। यह पहला कदम है। दूसरा कदम में पाया गया था कि JWT से थर्ड पार्टी ऐप में जाने की रिक्वेस्ट क्या उसी यूज़र्स द्वारा की गई है, इसकी भी कोई सटीकता नहीं है। इस तरह हैकर यूज़र का अकाउंट हैक कर सकता है।

जैन ने बताया कि वह ऐप्पल की किसी भी ईमेल आईडी के जरिए JWT की रिक्वेस्ट भेज सकते हैं और जब इन टोकन के सिग्नेचर को ऐप्पल की पब्लिक की का इस्तेमाल करके वेरिफाई किया जाता है, तो इसे वैलिड दिखाया जाता है। इसका मतलब यह है कि कोई भी हैकर किसी भी ईमेल आईडी के जरिए JWT की रिक्वेस्ट भेज सकता है और किसी का भी अकाउंट एक्सेस कर सकता है। जैन ने बताया कि यह कमी काफी गंभीर है और इसके जरिए हैकर किसी के भी अकाउंट को टेकओवर कर सकता है। इसके जरिए हैकर्स यूज़र्स का पर्सनल डेटा ले सकते हैं, जिसमें लॉग-इन, क्रेडेंशियल्स, पासवर्ड और अकाउंट डिटेल्स जैसी निजी जानकारी शामिल है।

हालांकि, ज्यादातर ऐप्स इस साइन-इन प्रक्रिया को सपोर्ट नहीं करती, लेकिन यह Dropbox, Giphy, Spotify, और Airbnb पर उपलब्ध है।

आपकी राय

लेटेस्ट टेक न्यूज़, स्मार्टफोन रिव्यू और लोकप्रिय मोबाइल पर मिलने वाले एक्सक्लूसिव ऑफर के लिए गैजेट्स 360 एंड्रॉयड ऐप डाउनलोड करें और हमें गूगल समाचार पर फॉलो करें।