Depuis qu’Apple a lancĂ© son nouveau système de connexion pour les applications et services tiers en octobre dernier, de nombreuses applications iOS et iPadOS ont adoptĂ© ce système comme alternative Ă la connexion via des comptes de rĂ©seaux sociaux ou des adresses e-mail. e-mail, y compris les applications qui traitent de grandes quantitĂ©s de donnĂ©es sensibles.
Et bien que le nouveau système de connexion se concentre sur la confidentialitĂ© et la sĂ©curitĂ©, ce système prĂ©sentait une vulnĂ©rabilitĂ©, enfin corrigĂ©e, qui aurait permis le dĂ©tournement complet des comptes d’utilisateurs via ces applications. Ils n’ont pas eu d’autres mesures de sĂ©curitĂ©, malgrĂ© le fait que les victimes puissent ou non avoir un identifiant Apple valide, selon Bhavuk Jain, dĂ©veloppeur de logiciels, dimanche dernier.
Jain a participĂ© a trouvĂ© cette vulnĂ©rabilitĂ© de type zĂ©ro en avril dernier, soulignant qu’en pratique elle n’a pas Ă©tĂ© exploitĂ©e. Une fois la vulnĂ©rabilitĂ© dĂ©couverte, Jaun a profitĂ© du programme de rĂ©compenses Apple par lequel il a divulguĂ© tous les dĂ©tails en privĂ© Ă l’entreprise et, grâce Ă sa contribution, il a obtenu une rĂ©compense d’environ 100 000 dollars.
Une fois la vulnérabilité résolue, Jain a publié les détails de la vulnérabilité. Comme décrit:
J’ai dĂ©couvert que je pouvais demander JWT pour n’importe quel identifiant de messagerie Apple et lorsque ces jetons Ă©taient vĂ©rifiĂ©s Ă l’aide de la clĂ© publique d’Apple, ils Ă©taient affichĂ©s comme valides
Gardez Ă l’esprit que le système de connexion Apple fonctionne de manière similaire Ă la norme OAuth 2.0, gĂ©nĂ©rant un code JSON Web Token (JWT) dans le cas oĂą les utilisateurs souhaitent garder leur identifiant de messagerie cachĂ©, gĂ©nĂ©rant un identifiant alĂ©atoire et spĂ©cifique Ă eux.
Selon le développeur:
Cela signifie qu’un attaquant pourrait usurper un JWT en liant n’importe quel identifiant de messagerie et en accĂ©dant au compte de la victime
Heureusement, les utilisateurs peuvent dĂ©sormais utiliser en toute sĂ©curitĂ© le système de connexion d’Apple.
