En Avril, le chercheur en sécurité Bhavuk Jain a découvert une vulnérabilité de jour zéro dans Connectez-vous avec Apple qui ont affecté des applications tierces utilisant la fonctionnalité sans mettre en œuvre leurs propres mesures de sécurité.
Selon le chercheur, la Apple zero-day "aurait pu entraîner une prise de contrôle complète des comptes d'utilisateurs sur cette application tierce, qu'une victime ait ou non un identifiant Apple valide."
La vulnérabilité, qui a déjà été corrigé, apporté à Jain une récompense de $100,000 par Apple dans le cadre de leur programme Apple Security Bounty.
Connectez-vous avec Apple Zero-Day Bug
La Connectez-vous avec Apple a été introduite dans 2019, et est destiné à offrir une alternative plus privée aux systèmes de connexion aux sites Web et aux applications activés par les comptes Facebook et Google. Apple a minimisé la quantité de données utilisateur nécessaires pour l'authentification et la création de compte, créant ainsi une API qui a également réduit la quantité de suivi Facebook et Google. Cependant, il se trouve que la vie privée Connectez-vous avec Apple contient un jour zéro, découvert par le chercheur en sécurité Bhavuk Jain.
Cette vulnérabilité pourrait permettre à un attaquant d'accéder à un compte d'utilisateur et de le reprendre entièrement sur une application tierce. Le jour zéro aurait pu être exploité pour modifier le contrôle du compte d'utilisateur de l'application. En outre, que l'utilisateur ait un identifiant Apple valide ou non, peu importe que le bogue soit exploité.
Comment Connectez-vous avec Apple travail? La fonctionnalité repose sur un jeton Web JSON (sous peu JWT) ou un code généré par les serveurs d'Apple. Les serveurs d'Apple entrent en jeu au cas où un JWT n'est pas disponible. Apple permet également aux utilisateurs de partager ou de masquer leur identifiant de messagerie Apple avec l'application tierce donnée. Une fois l'autorisation réussie, Apple génère un JWT contenant l'ID e-mail. Ce dernier est utilisé par l'application tierce pour connecter l'utilisateur.
Jain a découvert qu'il était possible de demander un JWT pour n'importe quel identifiant de messagerie:
J'ai découvert que je pouvais demander des JWT pour n'importe quel identifiant de messagerie auprès d'Apple et lorsque la signature de ces jetons a été vérifiée à l'aide de la clé publique d'Apple, ils ont montré que valide. Cela signifie qu'un attaquant pourrait forger un JWT en lui associant n'importe quel identifiant de messagerie et en accédant au compte de la victime.
L'impact de ce bogue était «assez critique"Car il aurait pu permettre une prise de contrôle complète du compte, a ajouté le chercheur. En outre, de nombreux développeurs ont intégré Connectez-vous avec Apple, car il est obligatoire pour les applications qui prennent en charge d'autres connexions sociales.
Les applications qui utilisent Se connecter avec Apple incluent des noms largement adoptés tels que Dropbox, Spotify, airbnb, Giphy (qui a été acquis par Facebook). "Ces applications n'ont pas été testées mais auraient pu être vulnérables à une prise de contrôle complète du compte s'il n'y avait pas d'autres mesures de sécurité en place lors de la vérification d'un utilisateur," Jain a dit dans son rapport.
Apple a mené sa propre enquête sur ses journaux pour déterminer qu'il n'y avait pas de mauvaise utilisation ou de compromission de compte causée par cette vulnérabilité zero-day.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: