Een week lang hebben we gemerkt dat we op verschillende websites en internetdiensten van derden kunnen "inloggen" met onze Apple ID. De waarheid is dat de eerste keer dat ik hem zag, ik mijn neus rimpelde en dat ik niet erg grappig was. Voor deze dingen heb ik al een ‘junk’ Gmail-account, waar het me niet kan schelen of ik spam krijg, want ik kijk er nooit naar.
Als het waar is dat wanneer Apple dit systeem heeft opgezet, het ervoor heeft gezorgd dat de webservice die het gebruikt, geen gebruikersgegevens verkrijgt of spam toestaat. Maar voor het geval dat, ben ik niet van plan het te gebruiken. Nu weten we dat er een was inbreuk op de beveiliging in dit systeem en het bedrijf heeft de ontdekker van de fout zeer goed beloond.
Door een beveiligingsprobleem met 'Aanmelden bij Apple' hadden hackers mogelijk volledige controle over gebruikersaccounts die via dit systeem worden geopend. Gelukkig werd de bug opgemerkt door de in India gevestigde beveiligingsonderzoeker Bhavuk jain.
Een bonus van $ 100.000
Hier is mijn eerste 6-cijferige premie van @Appel. De blogpost zal volgende week verschijnen. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) 24 mei 2020
In een blogpost die afgelopen weekend werd gepost, merkte Jain op dat hij Apple in april op de hoogte had gesteld van de kwetsbaarheid. Snel vanuit Cupertino hebben ze de fout geverifieerd en deze is opgelost. Dankzij het bugbounty-programma van Apple is de computerwetenschapper beloond Dollar 100.000 als dank voor de belangrijke vondst die is ontdekt.
De fout betrof een probleem met de webtokens die werden gegenereerd tijdens het gebruik van het systeem «Log in met Apple»In webservices van derden. Jain merkte op dat de kwetsbaarheid het voor iedereen mogelijk maakte om tokens aan te vragen voor elke Apple e-mail-ID. Ze kunnen vervolgens worden gebruikt als tokens om de identiteit te verifiëren. Hierdoor kunnen aanvallers een token vervalsen door deze aan een Apple ID te koppelen. Vanaf hier heeft de vreemdeling volledige toegang met de gehackte Apple iD.
Veel ontwikkelaars hebben "Log in met Apple" geïntegreerd waar een account vereist is en ze hebben al andere sociale logins. Bijvoorbeeld, Facebook, Dropbox, Spotify, Airbnb, Giphy enz.
Deze apps zouden kwetsbaar kunnen zijn geweest voor een volledige overname van het account als er geen andere beveiligingsmaatregelen waren getroffen terwijl een gebruiker werd geverifieerd. Volgens Jain heeft Apple een onderzoek ingesteld en dat vastgesteld er is geen account gecompromitteerd vanwege deze login voordat de beveiligingslek wordt verholpen.