Mistake en «Iniciar sesión con Apple» podría haber permitido el secuestro de cuenta


El gigante tecnológico recompensa al cazarrecompensas de insectos que encontró la falla severa en su mecanismo de inicio de sesión con US $ 100,000

Un cazarrecompensas de errores ha revelado una falla grave en la función «Iniciar sesión con Apple» de Apple que, si se explota, podría haber permitido a un atacante secuestrar las cuentas de las personas en los principales servicios de terceros. De acuerdo con Bhavuk Jain, todas las cuentas en aplicaciones y sitios world-wide-web de terceros que utilizaron el método de autenticación pero no implementaron ninguna medida de seguridad adicional estaban en riesgo.

Jain descubrió el error en abril y luego lo denunció a Apple, que lo recompensó con US $ 100,000 bajo el programa Safety Bounty de la compañía. El indio cazarrecompensas dijo que Apple investigó sus registros y no encontró registros de ningún compromiso o mal uso de la cuenta derivado de la vulnerabilidad. El mistake se ha corregido desde entonces, aunque Apple aún no ha comentado públicamente sobre los hallazgos de Jain.

Jain señala que hay dos formas en que «Iniciar sesión con Apple» autentica a los usuarios: mediante el uso de un token website JSON (JWT) o mediante los servidores de Apple que generan un código, que luego genera un JWT. Al iniciar sesión, el usuario tiene la opción de compartir su correo asociado con Apple ID con la aplicación de terceros o no.

En el último escenario, se genera una ID de correo electrónico de retransmisión de Apple específica del usuario. Una vez que la autorización es exitosa, Apple genera un JWT que contiene la ID de correo electrónico, que es utilizada por la aplicación de terceros para iniciar sesión en el usuario. Sin embargo, debido a la falta de validación, hubo una manera de subvertir el proceso que involucra al JWT para secuestrar un cuenta de usuario, y solo requiere conocer la identificación de correo electrónico del objetivo.

«Descubrí que podía solicitar JWT para cualquier ID de correo electrónico de Apple y cuando se verificó la firma de estos tokens utilizando la clave pública de Apple, se mostraron como válidos». Esto significa que un atacante podría falsificar un JWT al vincular cualquier ID de correo electrónico y obtener acceso a la cuenta de la víctima «, dijo Jain.

El gigante tecnológico de Cupertino requiere que los desarrolladores agreguen la opción «Iniciar sesión con Apple» siempre que estén disponibles otras formas de inicio de sesión social (Facebook, Google). La función es utilizada por innumerables servicios importantes, como Spotify, Airbnb, Adobe, eBay y Dropbox, por nombrar algunos.

A principios de este año, un par de vulnerabilidades de seguridad severas se encontró en la aplicación iOS Mail, que viene preinstalada en todos los dispositivos iOS. Los defectos se han corregido desde entonces y se ha implementado una actualización para el público.








Enlace a la noticia first