Bug no ‘Sign In With Apple' deixou usuários expostos para ataques no iPhone, iPad e Mac e recompensou Bhavuk Jain com mais de meio milhão de reais.
O hacker e programador Bhavuk Jain, em abril, descobriu uma vulnerabilidade crítica do Sign In With Apple (Iniciar sessão com a Apple) que poderia ter resultado no vazamento de algumas contas de usuários. O bug era específico para aplicativos de terceiros que usavam o Iniciar sessão com a Apple e não implementavam medidas de segurança adicionais.
Jain observou que o recurso funciona autenticando um usuário por meio de um JWT (JSON Web Token) ou de um código gerado pelo servidor da Maçã. A Apple, então, oferece aos usuários a opção de compartilhar o e-mail vinculado ao seu ID Apple ou um endereço de e-mail de retransmissão privado, que cria um JWT usado para efetuar login no usuário.
O programador descobriu que, uma vez solicitadas as JWTs para os e-mails de ID da Apple e os endereços de e-mail de retransmissão privada, e a assinatura do token sendo verificada usando a chave pública da Apple, "mostrava-se como válida". Caso o bug não tivesse sido descoberto, um JWT poderia ser criado e usado para obter acesso à conta.
Em uma entrevista ao The Hacker News, Jain falou sobre a gravidade do bug:
O impacto dessa vulnerabilidade foi bastante crítico, pois poderia ter permitido uma exposição completa da conta. Muitos desenvolvedores integraram o login à Apple, pois é obrigatório para aplicativos que oferecem suporte a outros logins de redes sociais. Para exemplificar alguns apps que usam o 'Entre com a Apple' (Sign in with Apple): Dropbox, Spotify, Airbnb, Giphy (agora adquirido pelo Facebook).
Segundo o hacker, a Apple conduziu uma investigação e concluiu que nenhuma conta foi comprometida usando esse método antes que a vulnerabilidade fosse corrigida. Jain recebeu US$ 100.000,00 (cerca de R$ 534.000,00) da gigante de Cupertino sob seu programa Apple Security Bounty por relatar o problema.
Outros desenvolvedores especularam que o bug também poderia ter sido usado para acessar os serviços da Apple, pois a página de pagamentos de recompensas de segurança da empresa lista um prêmio de US$ 100.000,00 por "acesso não autorizado aos dados da conta do iCloud nos servidores Apple" ou "acesso não autorizado a dados confidenciais", únicas categorias que se encaixam no relatório de Jain. Outras recompensas podem valer até 1 milhão de dólares, cerca de 5,3 milhões de reais.
Além de comemorar as 100 mil "doletas" que recebeu da Apple, o hacker e programador Bhavuk Jain explicou toda a falha em seu site. Clique AQUI para ter acesso e entender melhor.
Como funciona o recurso "Iniciar sessão com a Apple"?
O usuário pode iniciar sessão em apps e sites, usando o iPhone, iPad ou Mac, com o ID Apple, sem precisar preencher formulários e nem criar senhas. É só tocar em “Iniciar sessão com a Apple” e confirmar com o Face ID ou Touch ID. Os apps podem solicitar apenas o nome e e-mail. E, se o usuário preferir, a Apple cria um endereço de e-mail diferente que redireciona para o verdadeiro sem rastrear as atividades, fazendo com que cada pessoa fique no controle dos seus dados. Desta forma, o app ou empresa não terá acesso ao seu e-mail verdadeiro nem mesmo para o envio de newsletters.
O recurso foi lançado no iOS 13.
Fonte: MacRumors