Il ricercatore indiano Bhavuk Jain, che lavora nel campo della sicurezza informatica, ha ricevuto una ricompensa di 100 dollari per aver scoperto una pericolosa vulnerabilità nella funzione “Accedi con Apple”, utilizzata dai proprietari di dispositivi Apple per l'autorizzazione sicura in siti di terze parti. applicazioni e servizi utilizzando un ID personale.
Stiamo parlando di una vulnerabilità, il cui utilizzo potrebbe consentire agli aggressori di prendere il controllo degli account delle vittime in applicazioni e servizi per i quali è stato utilizzato lo strumento Accedi con Apple per l'autorizzazione. Ti ricordiamo che Accedi con Apple è un meccanismo di autenticazione che tutela la privacy e ti consente di iscriverti ad app e servizi di terze parti senza rivelare il tuo indirizzo email.
Il processo di autenticazione Accedi con Apple genera un token Web JSON, che contiene informazioni sensibili che un'applicazione di terze parti può utilizzare per verificare l'identità dell'utente che ha effettuato l'accesso. Lo sfruttamento della vulnerabilità menzionata ha consentito a un utente malintenzionato di falsificare un token JWT associato a qualsiasi ID utente. Di conseguenza, l'aggressore potrebbe essere in grado di accedere per conto della vittima tramite la funzione Accedi con Apple a servizi e applicazioni di terzi che supportano questo strumento.
Il ricercatore ha segnalato la vulnerabilità ad Apple il mese scorso e ora è stata risolta. Inoltre, gli specialisti Apple hanno condotto un'indagine durante la quale non hanno trovato un solo caso in cui questa vulnerabilità sia stata sfruttata nella pratica dagli aggressori.
Fonte: 3dnews.ru