Selama beberapa minggu, kami telah mengamati bahwa di berbagai situs web dan layanan internet pihak ketiga kami dapat "masuk" dengan milik kami ID Apple. Sebenarnya pertama kali saya melihatnya, saya mengerutkan hidung dan saya tidak terlalu lucu. Untuk hal-hal ini saya sudah memiliki akun Gmail "sampah", di mana saya tidak peduli jika saya mendapatkan spam karena saya tidak pernah melihatnya.
Jika benar bahwa ketika Apple telah menginstal sistem ini, itu telah memastikan bahwa layanan web yang menggunakannya tidak memperoleh data pengguna atau mengizinkannya untuk mengirim spam. Tapi saya, untuk berjaga-jaga, tidak berniat menggunakannya. Sekarang kita tahu ada a pelanggaran keamanan dalam sistem ini dan perusahaan telah memberi penghargaan kepada penemu kesalahan dengan sangat baik.
Kerentanan keamanan dengan "Masuk dengan Apple" memungkinkan peretas untuk melakukan kontrol penuh atas akun pengguna yang diakses melalui sistem ini. Untungnya, bug tersebut ditemukan oleh peneliti keamanan yang berbasis di India Bhavuk jain.
Bonus $ 100.000
Ini hadiah 6 digit pertama saya @Apel. Posting blog akan muncul minggu depan. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) 24 Mei 2020
Dalam posting blog yang diposting selama akhir pekan, Jain mencatat bahwa dia membuat Apple sadar akan kerentanan pada bulan April. Dengan cepat dari Cupertino mereka memverifikasi kesalahan tersebut dan itu diselesaikan. Berkat program bug bounty Apple, ilmuwan komputer tersebut telah mendapatkan penghargaan Dolar AS 100.000 sebagai terima kasih atas penemuan penting yang ditemukan.
Kesalahan tersebut melibatkan masalah dengan token web yang dibuat saat menggunakan sistem «Masuk dengan Apple»Dalam layanan web pihak ketiga. Jain mencatat bahwa kerentanan memungkinkan siapa saja meminta token untuk ID email Apple apa pun. Mereka kemudian dapat digunakan sebagai token untuk memverifikasi identitas. Ini akan memungkinkan penyerang untuk memalsukan token dengan menautkannya ke ID Apple. Dari sini, orang asing akan memiliki akses penuh dengan iD Apple yang diretas.
Banyak pengembang telah mengintegrasikan "Masuk dengan Apple" di mana akun diperlukan dan mereka sudah memiliki info masuk sosial lainnya. Sebagai contoh, Facebook, Dropbox, Spotify, Airbnb, Giphy dan sebagainya
Aplikasi ini bisa saja rentan terhadap pengambilalihan akun penuh jika tidak ada tindakan keamanan lain yang diterapkan saat pengguna sedang diverifikasi. Menurut Jain, Apple melakukan investigasi dan menentukan itu tidak ada akun yang disusupi karena proses masuk ini sebelum memperbaiki pelanggaran keamanan.