Per alcune settimane, abbiamo osservato che in diversi siti Web e servizi Internet di terze parti possiamo "accedere" con il nostro ID Apple. La verità è che la prima volta che l'ho visto, ho arricciato il naso e non ero molto divertente. Per queste cose ho già un account Gmail "spazzatura", dove non mi interessa se ricevo spam perché non lo guardo mai.
Se è vero che quando Apple ha installato questo sistema, si è assicurata che il servizio web che lo utilizza non ottenga i dati dell'utente o gli consenta di inviare spam. Ma io, per ogni evenienza, non intendo usarlo. Ora sappiamo che c'era un file violazione della sicurezza in questo sistema e l'azienda ha premiato molto bene lo scopritore dell'errore.
Una vulnerabilità di sicurezza con "Accedi con Apple" avrebbe potuto consentire agli hacker di esercitare il pieno controllo degli account utente a cui si accede tramite questo sistema. Fortunatamente, il bug è stato individuato dal ricercatore di sicurezza con sede in India Bhavuk jain.
Un bonus di $ 100.000
Ecco la mia prima taglia a 6 cifre da @Apple. Il post sul blog sarà pubblicato la prossima settimana. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) 24 Maggio 2020
In un post sul blog pubblicato durante il fine settimana, Jain ha notato di aver informato Apple della vulnerabilità ad aprile. Rapidamente da Cupertino hanno verificato l'errore ed è stato risolto. Grazie al programma bug bounty di Apple, lo scienziato informatico è stato premiato con Dollari 100.000 come ringraziamento per l'importante ritrovamento scoperto.
L'errore comportava un problema con i web token generati durante l'utilizzo del sistema «Accedi con Apple»Nei servizi Web di terze parti. Jain ha notato che la vulnerabilità ha consentito a chiunque di richiedere token per qualsiasi ID e-mail Apple. Potrebbero quindi essere utilizzati come token per verificare l'identità. Ciò consentirebbe agli aggressori di falsificare un token collegandolo a un ID Apple. Da qui, lo sconosciuto avrà pieno accesso con l'Apple iD violato.
Molti sviluppatori hanno integrato "Accedi con Apple", dove è richiesto un account e hanno già altri accessi sociali. Per esempio, Facebook, Dropbox, Spotify, Airbnb, Giphy ecc.
Queste app avrebbero potuto essere vulnerabili a un'acquisizione completa dell'account se non fossero state implementate altre misure di sicurezza durante la verifica di un utente. Secondo Jain, Apple ha condotto un'indagine e l'ha determinato nessun account è stato compromesso a causa di questo accesso prima di correggere la violazione della sicurezza.