Apple ha pagato allo sviluppatore Bhavuk Jain un premio di 100.000$ per aver trovato un grave bug all’interno del suo sistema di login “Accedi con Apple”. Il bug avrebbe consentito a malintenzionati di assumere il possesso di alcuni account su determinati siti web e app.
Apple sa essere riconoscente
Secondo lo sviluppatore Jain, il bug scoperto era legato al modo in cui Apple convalidava gli utenti che utilizzavano “Accedi con Apple“. Il servizio di accesso facilitato rilasciato dalla società lo scorso anno, funziona tramite gli ID Apple ed è stato ideato per limitare l’egemonia di altri servizi di accesso (Facebook e Google).
Per autorizzare un utente, “Accedi con Apple” utilizza un JWT (token Web JSON) o un codice generato dai server Apple. Durante l’autorizzazione, Apple offre agli utenti la possibilità di condividere o nascondere il proprio ID Apple con le app di terze parti. Se gli utenti scelgono di non condividere la propria e-mail con un’app specifica, Apple genera un ID e-mail Apple momentaneo dell’utente per quel servizio.
Ad autorizzazione avvenuta, a seconda della decisione dell’utente, Apple prodice il JWT che contiene l’ID email. Questo ID è poi utilizzato dall’app di terze parti per il login. Ed è qui che entra in gioco il bug. Jain ha scoperto lo scorso aprile di poter richiedere JWT per qualsiasi ID e-mail Apple.
“Quando la firma di questi token viene verificata utilizzando la chiave pubblica di Apple, un utente malintenzionato potrebbe creare un JWT collegando qualsiasi ID ad esso e ottenendo l’accesso all’account della vittima“, ha spiegato lo sviluppatore in un blog.
Here’s my first 6 digit bounty from @Apple. Blog post will be up next week. #bugbounty pic.twitter.com/QygxvtGYJb
— Bhavuk Jain (@bhavukjain1) May 24, 2020
Accedi con Apple: Perché succedeva ciò?
Secondo The Hacker News, Jain ha scoperto che ciò era dovuto ad una discrepanza. Sebbene Apple chiedesse di effettuare il login prima della richiesta di autorizzazione, non era certa che il JWT fosse richiesto dallo stesso utente nel passaggio successivo.
La vulnerabilità non prevedeva tra l’altro misure di sicurezza aggiuntive provenienti dall’app di terze parti.
“L’impatto di questa vulnerabilità è stato piuttosto critico in quanto avrebbe potuto consentire l’acquisizione completa dell’account. Molti sviluppatori hanno integrato “Accedi con Apple” poiché è obbligatorio per le applicazioni che supportano altri accessi social“, ha detto Jain. Alcuni esempi includono Dropbox, Spotify, Airbnb e Giphy. “Queste applicazioni non sono state testate ma avrebbero potuto essere vulnerabili all’acquisizione completa di un account se non ci fossero altre misure di sicurezza durante la verifica di un utente.“
Jain racconta nel suo blog che Apple ha condotto un’indagine immediata e ha stabilito che non vi sono stati abusi o compromissioni relativi agli account a causa della vulnerabilità scoperta.
- Include EarPods con connettore Lightning, cavo da Lightning a USB, alimentatore USB
- Display Retina HD da 4,7"
- Resistente alla polvere e all’acqua (1 metro fino a 30 minuti, IP67)
Ultimo aggiornamento 2024-10-06 / Link di affiliazione / Immagini da Amazon Product Advertising API