fbpx

Blog

Falha em serviço de login da Apple permitia acesso a qualquer conta

30 de Junho de 2020  

Uma falha na opção “Sign In With Apple” foi descoberta por um desenvolvedor e pesquisador de segurança da Índia

O pesquisador de segurança indiano, Bhavuk Jain, detetou uma falha que permitia uma violação dos controles de acesso em serviços com suporte Apple ID como Dropbox, Spotify, Airbnb, entre outros. A vulnerabilidade, já corrigida, utilizava apenas o correio electrónico utilizando em um ID da Apple para aceder à conta de qualquer utilizador em site ou aplicativo favorito onde houvesse o recurso “Sign in with Apple”/ “Inicie sessão com a Apple”. Continue a leitura e saiba mais sobre esse bug no post de hoje no blog da Velonet.

A DESCOBERTA

Bhavuk Jain relatou o problema à Apple em Abril por meio de um canal dedicado ao recebimento de detalhes acerca de falhas de segurança. Ele contou em seu blog que descobriu uma vulnerabilidade no recurso “Sign in with Apple” utilizado em aplicativos de terceiros. Esse recurso dispensa o registo de uma senha específica para cada aplicativo, então a única barreira é a autorização da própria Apple.

Há duas maneiras de autenticar um utilizador: usando um JSON Web Token (JWT) ou um código gerado pelo servidor Apple, o código é então usado para gerar um JWT. Na segunda etapa, a Apple oferece ao utilizador a opção de compartilhar seu Apple ID com o aplicativo de terceiros ou não. Se o utilizador decidir ocultar seu correio electrónico, a Apple irá gerar um ID para retransmissão. Dependendo da escolha, a Apple cria um JWT que contém esse ID, que é então usado pelo aplicativo de terceiros para fazer o login de utilizador.
O que Jain descobriu é que poderia solicitar JWTs para qualquer ID de correio electrónico da Apple. E quando a assinatura desses tokens era verificada usando a chave pública da Apple, eles se tornavam válidos. Basicamente, essa falha na segurança da Apple permitia que um hacker roubasse o comando de qualquer conta pelo serviço.

Pela descoberta, Jain recebeu uma recompensa de US$ 100 mil pelo Apple Security Bounty Program, que incentiva pesquisadores a encontrar e relatar à empresa falhas de segurança em seus produtos.