El investigador indio de seguridad cibernética Bhavuk Jain recibió una recompensa de $ 100 por descubrir una vulnerabilidad peligrosa en el identificador Iniciar sesión con Apple.
Hablamos de una vulnerabilidad que podría permitir a los atacantes tomar el control de las cuentas de las víctimas en aplicaciones y servicios que utilizan la herramienta Iniciar sesión con Apple para la autorización. Como recordatorio, Iniciar sesión con Apple es un mecanismo de autenticación que preserva la privacidad y le permite iniciar sesión en aplicaciones y servicios de terceros sin revelar su dirección de correo electrónico.
El proceso de autenticación Iniciar sesión con Apple genera un token web JSON que contiene información confidencial que una aplicación de terceros utiliza para verificar la identidad del usuario que inició sesión. La explotación de la vulnerabilidad mencionada permitió a un atacante falsificar un token JWT asociado con el identificador de cualquier usuario. Como resultado, un atacante podría iniciar sesión a través de la función "Iniciar sesión con Apple" en nombre de la víctima en servicios y aplicaciones de terceros que admitan esta herramienta.
El investigador informó sobre la vulnerabilidad a Apple el mes pasado y desde entonces ha sido parcheado. Además, los expertos de Apple realizaron una investigación durante la cual no se encontró ningún caso en el que los atacantes usaran esta vulnerabilidad en la práctica.
Fuente: 3dnews.ru