FaceTime pozwala na prowadzenie z Macbooka rozmów video z iPhone'ami i iPodami Touch wyposażonymi w tę usługę. Niestety okazało się, że pozwala też na łatwe przejęcie konta AppleID.
Według zasad inżynierii bezpieczeństwa, do zmiany haseł do dowolnych usług na nowe, aplikacja zawsze powinna pytać o poprzednie hasło, nawet jeśli użytkownik własnie się zalogował. W ten sposób blokuje się sytuację, w której ktoś zostawi zalogowane konto, i odejdzie na chwilę, a w tym czasie ktoś zmieni hasło na inne i w ten sposób przejmie konto.
FaceTime działa na kontach AppleID i pozwalał na zmianę hasła bez podawania starego, było to o tyle groźne, że standardowe konto AppleID służy też do autoryzacji zakupów w AppStore i iTunes Music Store. Pechowa aplikacja pozwalała też obejrzeć wszystkie parametry konta, łącznie z tymi, które nie powinny być nigdy ujawniane, jak pełne dane osobowe użytkownika i pytanie i odpowiedź umożliwiające reset hasła. Co gorsza, po wylogowaniu, hasło pozostawało wpisane w formularz logowania.
Wkrótce po ujawnieniu tego problemu, Apple po cichu zablokowało pokazywanie danych konta.
[Na podstawie Macnn , AppleInsider , via The Register ]
Janusz A. Urba nowicz