Depuis quelques semaines, nous constatons que sur différents sites Web et services Internet tiers, nous pouvons "nous connecter" avec notre Identifiant Apple. La vérité est que la première fois que je l'ai vu, je me suis plissé le nez et je n'étais pas très drôle. Pour ces choses, j'ai déjà un compte Gmail "indésirable", où je me fiche de recevoir du spam car je ne le regarde jamais.
S'il est vrai que lorsque Apple a installé ce système, il s'est assuré que le service Web qui l'utilise n'obtient pas de données utilisateur ou ne lui permet pas d'envoyer du spam. Mais moi, au cas où, je n'ai pas l'intention de l'utiliser. Maintenant, nous savons qu'il y avait un violation de la sécurité dans ce système et l'entreprise a très bien récompensé le découvreur de l'erreur.
Une faille de sécurité avec "Se connecter avec Apple" aurait pu permettre à des pirates de contrôler totalement les comptes utilisateurs accessibles via ce système. Heureusement, le bogue a été repéré par le chercheur en sécurité basé en Inde Bhavuk jaïn.
Un bonus de 100.000 XNUMX $
Voici ma première prime à 6 chiffres de @Pomme. Le billet de blog sera publié la semaine prochaine. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) 24 mai 2020
Dans un article de blog publié ce week-end, Jain a noté qu'il avait informé Apple de la vulnérabilité en avril. Rapidement de Cupertino, ils ont vérifié l'erreur et elle a été résolue. Grâce au programme de bug bounty d'Apple, l'informaticien a été récompensé par Dolaires 100.000 comme merci pour la découverte importante découverte.
L'erreur concernait un problème avec les jetons Web générés lors de l'utilisation du «Connectez-vous avec Apple»Dans les services Web tiers. Jain a noté que la vulnérabilité permettait à quiconque de demander des jetons pour n'importe quel identifiant de messagerie Apple. Ils pourraient ensuite être utilisés comme jetons pour vérifier l'identité. Cela permettrait aux attaquants d'usurper un jeton en le liant à un identifiant Apple. De là, l'étranger aura un accès complet avec l'iD Apple piraté.
De nombreux développeurs ont intégré "Se connecter avec Apple" là où un compte est requis et ils ont déjà d'autres connexions sociales. Par exemple, Facebook, Dropbox, Spotify, Airbnb, Giphy et ainsi de suite
Ces applications auraient pu être vulnérables à une prise de contrôle complète du compte s'il n'y avait pas d'autres mesures de sécurité en place pendant la vérification d'un utilisateur. Selon Jain, Apple a mené une enquête et a déterminé que aucun compte n'a été compromis en raison de cette connexion avant de corriger la faille de sécurité.