Nowe FaceTime dziurawe

W korporacyjnej kulturze Apple wypuszczenie niedopracowanych produktów jest rzadkim wydarzeniem, dlatego też wykrycie wielkiej luki w macbookowej wersji FaceTime nie jest wielkim zaskoczeniem.

FaceTime pozwala na prowadzenie z Macbooka rozmów video z iPhone'ami i iPodami Touch wyposażonymi w tę usługę. Niestety okazało się, że pozwala też na łatwe przejęcie konta AppleID.

Według zasad inżynierii bezpieczeństwa, do zmiany haseł do dowolnych usług na nowe, aplikacja zawsze powinna pytać o poprzednie hasło, nawet jeśli użytkownik własnie się zalogował. W ten sposób blokuje się sytuację, w której ktoś zostawi zalogowane konto, i odejdzie na chwilę, a w tym czasie ktoś zmieni hasło na inne i w ten sposób przejmie konto.

FaceTime działa na kontach AppleID i pozwalał na zmianę hasła bez podawania starego, było to o tyle groźne, że standardowe konto AppleID służy też do autoryzacji zakupów w AppStore i iTunes Music Store. Pechowa aplikacja pozwalała też obejrzeć wszystkie parametry konta, łącznie z tymi, które nie powinny być nigdy ujawniane, jak pełne dane osobowe użytkownika i pytanie i odpowiedź umożliwiające reset hasła. Co gorsza, po wylogowaniu, hasło pozostawało wpisane w formularz logowania.

Wkrótce po ujawnieniu tego problemu, Apple po cichu zablokowało pokazywanie danych konta.

[Na podstawie Macnn, AppleInsider, via The Register]

Janusz A. Urbanowicz

Więcej o: