Le chercheur indien Bhavuk Jain, qui travaille dans le domaine de la sécurité de l'information, a reçu une récompense de 100 000 $ pour avoir découvert une dangereuse vulnérabilité dans la fonction « Connexion avec Apple », utilisée par les propriétaires d'appareils Apple pour une autorisation sécurisée dans des applications tierces. applications et services utilisant un identifiant personnel.
Nous parlons d’une vulnérabilité dont l’utilisation pourrait permettre à des attaquants de prendre le contrôle des comptes des victimes dans des applications et des services pour lesquels l’outil Sign in with Apple a été utilisé pour l’autorisation. Pour rappel, Connectez-vous avec Apple est un mécanisme d'authentification préservant la confidentialité qui vous permet de vous inscrire à des applications et services tiers sans révéler votre adresse e-mail.
Le processus d'authentification de connexion avec Apple génère un jeton Web JSON, qui contient des informations sensibles qu'une application tierce peut utiliser pour vérifier l'identité de l'utilisateur connecté. L'exploitation de la vulnérabilité mentionnée a permis à un attaquant de forger un jeton JWT associé à n'importe quel identifiant utilisateur. En conséquence, l'attaquant pourrait pouvoir se connecter via la fonction Se connecter avec Apple au nom de la victime dans les services et applications tiers prenant en charge cet outil.
Le chercheur a signalé la vulnérabilité à Apple le mois dernier et elle a maintenant été corrigée. De plus, les spécialistes d'Apple ont mené une enquête au cours de laquelle ils n'ont trouvé aucun cas dans lequel cette vulnérabilité aurait été utilisée par des attaquants dans la pratique.
Source: 3dnews.ru