De Indiase onderzoeker Bhavuk Jain, werkzaam op het gebied van informatiebeveiliging, ontving een beloning van $100 voor het ontdekken van een gevaarlijke kwetsbaarheid in de ‘Sign in with Apple’-functie. Deze functie wordt gebruikt door bezitters van Apple-apparaten voor veilige autorisatie bij derden toepassingen en diensten met behulp van een persoonlijke ID.
We hebben het over een kwetsbaarheid, waarvan het gebruik aanvallers in staat zou kunnen stellen de controle over de accounts van slachtoffers over te nemen in applicaties en diensten waarvoor de tool Aanmelden met Apple werd gebruikt voor autorisatie. Ter herinnering: Inloggen met Apple is een privacybeschermend authenticatiemechanisme waarmee u zich kunt aanmelden voor apps en diensten van derden zonder uw e-mailadres prijs te geven.
Het authenticatieproces Inloggen met Apple genereert een JSON-webtoken, dat gevoelige informatie bevat die een applicatie van derden kan gebruiken om de identiteit van de ingelogde gebruiker te verifiëren. Door misbruik te maken van de genoemde kwetsbaarheid kon een aanvaller een JWT-token vervalsen dat aan een gebruikers-ID was gekoppeld. Hierdoor zou de aanvaller namens het slachtoffer kunnen inloggen via de functie Aanmelden met Apple bij diensten en applicaties van derden die deze tool ondersteunen.
De onderzoeker meldde de kwetsbaarheid vorige maand bij Apple en deze is inmiddels verholpen. Daarnaast hebben Apple-specialisten onderzoek gedaan, waarbij zij geen enkel geval hebben aangetroffen waarin in de praktijk gebruik werd gemaakt van deze kwetsbaarheid door aanvallers.
Bron: 3dnews.ru