Por algumas semanas, observamos que em diferentes sites e serviços de Internet de terceiros, podemos "fazer login" com nosso ID da Apple. A verdade é que a primeira vez que o vi, enruguei o nariz e não fui muito engraçado. Para essas coisas, eu já tenho uma conta "lixo" do Gmail, onde não me importo se recebo spam, porque nunca olho para ele.
Se for verdade que, quando a Apple instalou este sistema, ela se certificou de que o serviço da web que o usa não obtém dados do usuário nem permite o envio de spam. Mas eu, por precaução, não pretendo usá-lo. Agora sabemos que havia um falha de segurança neste sistema e a empresa recompensou muito bem o descobridor do erro.
Uma vulnerabilidade de segurança com "Sign in with Apple" pode ter permitido que hackers controlassem totalmente as contas de usuários acessadas por meio deste sistema. Felizmente, o bug foi detectado pelo pesquisador de segurança da Índia Bhavuk jain.
Um bônus de $ 100.000
Aqui está minha primeira recompensa de 6 dígitos de @Apple. A postagem do blog sairá na próxima semana. #bugbounty pic.twitter.com/QygxvtGYJb
- Bhavuk Jain (@ bhavukjain1) 24 de maio de 2020
Em uma postagem de blog postada no fim de semana, Jain observou que informou à Apple sobre a vulnerabilidade em abril. Rapidamente de Cupertino verificaram o erro e foi resolvido. Graças ao programa de recompensa de bugs da Apple, o cientista da computação foi recompensado com EUA dollar 100.000 como agradecimento pelo importante achado descoberto.
O erro envolveu um problema com os tokens da web gerados ao usar o sistema «Faça login com a Apple»Em serviços web de terceiros. Jain observou que a vulnerabilidade possibilitou que qualquer pessoa solicitasse tokens para qualquer ID de e-mail da Apple. Eles podem então ser usados como tokens para verificar a identidade. Isso permitiria que os invasores falsificassem um token vinculando-o a um ID Apple. A partir daqui, o estranho terá acesso total com o Apple iD hackeado.
Muitos desenvolvedores integraram o "Sign in with Apple" onde uma conta é necessária e eles já têm outros logins sociais. Por exemplo, Facebook, Dropbox, Spotify, Airbnb, Giphy etc.
Esses aplicativos poderiam ser vulneráveis a um controle total da conta se não houvesse outras medidas de segurança em vigor enquanto um usuário estava sendo verificado. De acordo com Jain, a Apple conduziu uma investigação e determinou que nenhuma conta foi comprometida devido a este login antes de corrigir a violação de segurança.