O investigador indio Bhavuk Jain, que traballa no campo da seguridade da información, recibiu unha recompensa de 100 dólares por descubrir unha vulnerabilidade perigosa na función "Iniciar sesión con Apple". Esta función é utilizada polos propietarios de dispositivos Apple para a autorización segura de terceiros. aplicacións e servizos mediante unha identificación persoal.
Estamos a falar dunha vulnerabilidade, cuxo uso podería permitir aos atacantes tomar o control das contas das vítimas en aplicacións e servizos para os que se utilizou a ferramenta Iniciar sesión con Apple para a autorización. Como recordatorio, Iniciar sesión con Apple é un mecanismo de autenticación que preserva a privacidade que che permite rexistrarte en aplicacións e servizos de terceiros sen revelar o teu enderezo de correo electrónico.
O proceso de autenticación Iniciar sesión con Apple xera un token web JSON, que contén información confidencial que unha aplicación de terceiros pode usar para verificar a identidade do usuario iniciado. A explotación da mencionada vulnerabilidade permitiu a un atacante forxar un token JWT asociado con calquera ID de usuario. Como resultado, o atacante podería iniciar sesión a través da función Iniciar sesión con Apple en nome da vítima en servizos e aplicacións de terceiros compatibles con esta ferramenta.
O investigador informou da vulnerabilidade a Apple o mes pasado e agora foi solucionada. Ademais, os especialistas de Apple realizaron unha investigación, durante a cal non atoparon nin un só caso no que esta vulnerabilidade fose utilizada polos atacantes na práctica.
Fonte: 3dnews.ru