Nel mese di aprile, il ricercatore di sicurezza Bhavuk Jain ha scoperto una vulnerabilità zero-day in Accedi con Apple che ha interessato le applicazioni di terze parti che utilizzano la funzionalità senza implementare le proprie misure di sicurezza.
Secondo il ricercatore, il Mela zero-day "avrebbe potuto comportare l'acquisizione completa dell'account degli account utente su tale applicazione di terze parti indipendentemente dal fatto che una vittima abbia un ID Apple valido o meno."
La vulnerabilità, che è già stato patchato, portato a Jain una ricompensa di $100,000 da parte di Apple nell'ambito del programma Apple Security Bounty.
Accedi con Apple Zero-Day Bug
Il Accedi con Apple funzione è stata introdotta in 2019, e intende offrire un'alternativa più privata ai siti Web e ai sistemi di accesso alle app abilitati dagli account Facebook e Google. Apple ha ridotto al minimo la quantità di dati utente necessari per l'autenticazione e la creazione dell'account, creando così un'API che ha anche ridotto la quantità di tracciamento di Facebook e Google. Tuttavia, si scopre che il focus sulla privacy Accedi con Apple contiene un giorno zero, scoperto dal ricercatore di sicurezza Bhavuk Jain.
La vulnerabilità potrebbe consentire a un utente malintenzionato di ottenere l'accesso e assumere completamente l'account di un utente su un'app di terze parti. Il giorno zero avrebbe potuto essere sfruttato per modificare il controllo dell'account utente dell'app. Inoltre, se l'utente avesse un ID Apple valido o meno, non importava che il bug venisse sfruttato.
Come fa Accedi con Apple lavoro? La funzione si basa su un token Web JSON (a breve JWT) o un codice generato dai server di Apple. I server Apple entrano in gioco nel caso in cui un JWT non sia disponibile. Apple consente inoltre agli utenti di condividere o nascondere il proprio ID e-mail Apple con l'app di terze parti fornita. Una volta che si è verificata un'autorizzazione corretta, Apple genera un JWT contenente l'ID e-mail. Quest'ultimo è utilizzato dall'app di terze parti per accedere l'utente.
Jain ha scoperto che era possibile richiedere un JWT per qualsiasi ID e-mail:
Ho scoperto che potrei richiedere JWT per qualsiasi ID email da Apple e quando la firma di questi token è stata verificata utilizzando la chiave pubblica di Apple, hanno dimostrato di essere validi. Ciò significa che un utente malintenzionato potrebbe falsificare un JWT collegando qualsiasi ID e-mail ad esso e ottenendo l'accesso all'account della vittima.
L'impatto di questo bug è stato "abbastanza critico"In quanto avrebbe consentito l'acquisizione completa dell'account, il ricercatore ha aggiunto. Inoltre, molti sviluppatori si sono integrati Accedi con Apple, perché è obbligatorio per le applicazioni che supportano altri accessi social.
Le app che usano Accedi con Apple includono nomi ampiamente adottati come Dropbox, Spotify, Airbnb, Giphy (che è stato acquisito da Facebook). "Queste applicazioni non sono state testate ma avrebbero potuto essere vulnerabili all'acquisizione completa di un account se non fossero state adottate altre misure di sicurezza durante la verifica di un utente," Disse Jain nel suo rapporto.
Apple ha svolto le proprie indagini sui propri registri per accertare che non vi fossero abusi o compromessi dell'account causati da questa vulnerabilità zero-day.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: