Une vulnérabilité critique du système Apple «Se connecter avec Apple» aurait pu permettre à des attaquants distants de prendre le contrôle de comptes d'utilisateurs ciblés sur des services et applications tiers.
La fonctionnalité de connexion avec Apple de la société, lancée lors de la WWDC 2019, permet aux utilisateurs de se connecter à des applications et sites Web tiers à l'aide de leur identifiant Apple. La fonctionnalité aide également à protéger la confidentialité des utilisateurs car ils peuvent utiliser sa fonction « masquer mes e-mails '' pour masquer leurs adresses e-mail des applications et des sites.
Le chercheur indépendant en sécurité, Bhavuk Jain, a découvert le bogue pour la première fois avec Apple le mois dernier et la société lui a payé 100 000 $ bug bounty après l'avoir divulgué de manière responsable. Dans un article de blog, Jain a expliqué à quel point cette vulnérabilité désormais corrigée aurait pu être sérieuse, en disant:
«L'impact de cette vulnérabilité a été assez critique car il aurait pu permettre une prise de contrôle complète du compte. De nombreux développeurs ont intégré la connexion à Apple, car elle est obligatoire pour les applications qui prennent en charge d'autres connexions sociales. Pour n'en nommer que quelques-uns qui utilisent Se connecter avec Apple – Dropbox, Spotify, Airbnb, Giphy (maintenant acquis par Facebook). Ces applications n'ont pas été testées, mais auraient pu être vulnérables à une prise de contrôle complète du compte s'il n'y avait pas d'autres mesures de sécurité en place lors de la vérification d'un utilisateur. "
Sommaire
Connectez-vous avec Apple
Le système de connexion avec Apple fonctionne de manière similaire à OAuth 2.0 et les utilisateurs peuvent être authentifiés à l'aide d'un jeton Web JSON (JWT) ou d'un code généré par le serveur de l'entreprise qui est ensuite utilisé pour générer un JWT.
Jain a découvert qu'il pouvait demander des JWT pour n'importe quel identifiant de messagerie auprès d'Apple et lorsque la signature de ces jetons a été vérifiée à l'aide de la clé publique d'Apple, ils se sont révélés valides. En conséquence, un attaquant pourrait forger un JWT en lui associant n'importe quel identifiant de messagerie, ce qui leur donnerait accès aux comptes liés de la victime.
Après que Jain a soumis ses conclusions à Apple, la société a mené une enquête sur ses journaux et a déterminé qu'il n'y avait pas de mauvaise utilisation ou de compromis sur le compte qui exploitait la vulnérabilité.
Heureusement, Jain a divulgué la vulnérabilité en temps opportun avant qu'elle ne devienne un jour zéro où une faille est découverte et exploitée avant qu'une solution au problème ne soit disponible.
Via The Hacker News