Apple paga al investigador $ 100,000 por …


Apple ha solucionado una falla en la función «Iniciar sesión con Apple» que podría haber permitido a los atacantes entrar en cuentas de usuario para servicios de terceros.

Apple ha pagado al investigador de seguridad Bhavuk Jain $ 100,000 por el descubrimiento de una falla crítica en su función «Iniciar sesión con Apple». La vulnerabilidad ahora parcheada, si se explota, podría haber permitido a los atacantes eludir la autenticación y hacerse cargo de las cuentas de usuario para aplicaciones de terceros.

La característica fue introducido en iOS 13 como un medio más rápido y privado para iniciar sesión en aplicaciones y sitios web. En lugar de autenticarse con cuentas sociales o completar formularios, los usuarios pueden iniciar sesión con Apple ID y Apple proporcionará a los desarrolladores una identificación aleatoria. Incluso cuando se les solicita un nombre o una dirección de correo electrónico, los usuarios pueden compartir una dirección de correo electrónico aleatoria para mantener privado su correo electrónico own.

En abril, Jain encontró un mistake crítico en Iniciar sesión con Apple que afectaba a las aplicaciones de terceros que lo usaban sin implementar sus propias protecciones de seguridad. «Este mistake podría haber resultado en una toma de control total de la cuenta de usuario en esa aplicación de terceros, independientemente de que una víctima tenga una ID de Apple válida o no», explica en una publicación de web site que detalla la vulnerabilidad.

Además de pagarle a Jain una recompensa, Apple realizó una investigación sobre los registros de su servidor y confirmó que esta falla no se utilizó para comprometer las cuentas de los usuarios.

Iniciar sesión con Apple funciona de manera comparable a OAuth 2.. Hay dos formas de autenticar a un usuario: con un JSON World wide web Token (JWT) o un código generado por el servidor de Apple, que luego se united states of america para crear un JWT que luego se united states para validar la identidad de un usuario. Al otorgar la autorización, Apple ofrece a los usuarios la opción de compartir su ID de correo electrónico de Apple con una aplicación de terceros. Si un usuario choose ocultar su ID de correo electrónico, Apple genera una ID de correo electrónico de retransmisión de Apple específica del usuario para compartir con la aplicación.

Dependiendo de lo que seleccione el usuario, después de una autorización exitosa, Apple crea un JWT que contiene la ID de correo electrónico del relé. Esto es utilizado por la aplicación de terceros para autenticar al usuario. Jain descubrió que si bien Apple les pide a los usuarios que inicien sesión en su cuenta de Apple antes de generar la solicitud, no validó si una solicitud JWT provenía de la misma cuenta de usuario antes de iniciar sesión.

«Descubrí que podía solicitar JWT para cualquier ID de correo electrónico de Apple y cuando se verificó la firma de estos tokens utilizando la clave pública de Apple, se mostraron como válidos», escribe Jain en su entrada en el blog site. «Esto significa que un atacante podría falsificar un JWT al vincular cualquier ID de correo electrónico y obtener acceso a la cuenta de la víctima».

Jain confirmado con The Hacker News que esta vulnerabilidad podría explotarse para los usuarios que eligieron ocultar su ID de correo electrónico de aplicaciones de terceros. Un atacante también podría usar esta vulnerabilidad para crear una nueva cuenta de usuario con el ID de Apple de la víctima, agrega.

En su escrito, Jain dice que el impacto de este mistake es «bastante crítico» porque podría permitir la toma de manage completa de la cuenta si se explota. Muchos desarrolladores han integrado Iniciar sesión con Apple porque es obligatorio para las aplicaciones que admiten la autenticación a través de otras aplicaciones sociales. Las aplicaciones populares que usan la función incluyen Dropbox, Spotify, Airbnb y Giphy. Estas aplicaciones no se probaron, dice Jain, pero podrían haber sido vulnerables a la toma de control de la cuenta si no se hubieran implementado otras medidas de seguridad al verificar a un usuario.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de personalized de Dim Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia primary