Des de fa una setmanes, hem observat que en diferents webs i serveis d'internet de tercers podem «loguearnos» amb la nostra ID d'Apple. La veritat és que la primera vegada que el vaig veure, s'arrugui el nas i no em va fer molta gràcia. Per a aquestes coses ja tinc un compte «escombraries» de Gmail, on no m'importa que em arribi spam perquè no la miro mai.
Si que és cert que quan Apple ha instaurat aquest sistema, s'ha assegurat que el servei web que el fa servir no obtingui dades de l'usuari ni deixa que envieu spam. Però jo, per si de cas, no ho penso fer servir. Ara sabem que hi havia un fallada de seguretat en aquest sistema i la companyia a gratificat molt bé a el descobridor de l'error.
Una vulnerabilitat de seguretat amb «Inicia sessió amb Apple» podria haver permès als pirates informàtics dur a terme un control total dels comptes d'usuari a les quals s'accedeix mitjançant aquest sistema. Afortunadament, l'error va ser detectat per l'investigador de seguretat amb seu a l'Índia Bhavuk Jain.
Una gratificació de 100.000 dòlars
Here 's my first juny Digital bounty from @Poma. Blog post will be up next week. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) Pot 24, 2020
En una entrada de bloc publicada durant el cap de setmana, Jain va assenyalar que va fer que Apple fos conscient de la vulnerabilitat al mes d'abril. Ràpidament des de Cupertino van constatar l'error i es va solucionar. Gràcies a el programa de recompenses per errors d'Apple, s'ha gratificat a l'informàtic amb 100.000 dòlars com a agraïment per l'important troballa descobert.
L'error va implicar un problema amb els tokens web generats a l'usar el sistema «Inicia sessió amb Apple»En serveis web de tercers. Jain ha assenyalat que la vulnerabilitat va fer possible que qualsevol persona podia sol·licitar tokens per a qualsevol ID de correu electrònic d'Apple. A continuació, es podrien usar com tokens per comprovar la identitat. Això permetria als atacants falsificar un símbol vinculant-lo a un ID d'Apple. A partir d'aquí, el desconegut tindria accés total amb el iD d'Apple hacker.
Molts desenvolupadors han integrat «Inicia sessió amb Apple», en què és obligatori tenir un compte i ja compten amb altres inicis de sessió socials. Per exemple, Facebook, Dropbox, Spotify, Airbnb, Giphy etcètera...
Aquestes aplicacions podrien haver estat vulnerables a una adquisició completa del compte si no hi hagués altres mesures de seguretat en vigor mentre es verificava a un usuari. Segons Jain, Apple va dur a terme una investigació i va determinar que cap compte es va veure compromesa a causa d'aquest inici de sessió abans d'esmenar l'error de seguretat.