O especialista indiano Bhavuk Jain revelou ontem em seu blog ter ganho da Apple US$100 mil do programa de recompensas da empresa, por ter descoberto uma grave vulnerabilidade no recurso “Sign in with Apple”, que é utilizado, entre outros, por Dropbox, Spotify e Airbnb. O que ele descobriu é que com apenas o e-mail usado num ID da Apple era possível ter acesso à conta de qualquer usuário em site ou aplicativo favorito onde houvesse o recursos “Sign in with Apple”.
Ele contra que em abril deste ano encontrou uma vulnerabilidade não conhecida por ninguém (um ‘zero day’) no recurso “Sign in with Apple” utilizado em aplicativos de terceiros. Esse bug, explica Jain, poderia ter resultado no acesso a contas de usuários em aplicativos de terceiros, independentemente de a vítima ter um ID Apple válido ou não. Em outras palavras, o recurso da Apple dava acesso às contas de todos.
Veja isso
Lançada primeira plataforma de bug bounty no Brasil
Google dará US$ 1,5 mi de recompensa por hacking do chip Titan M
Jain explica que há duas maneiras de autenticar um usuário: usando um JWT (JSON Web Token) ou um código gerado pelo servidor Apple – o código é então usado para gerar um JWT: “Na segunda etapa, a Apple oferece ao usuário a opção de compartilhar seu Apple ID com o aplicativo de terceiros ou não. Se o usuário decidir ocultar seu email, a Apple irá gerar um ID de email para retransmissão, específico da Apple. Dependendo da escolha do usuário, após uma autorização bem-sucedida, a Apple cria um JWT que contém esse ID, que é então usado pelo aplicativo de terceiros para fazer o login de usuário.
O que ele descobriu é que poderia solicitar JWTs para qualquer ID de e-mail da Apple. E quando a assinatura desses tokens era verificada usando a chave pública da Apple, eles se tornavam válidos: “Isso significa que um invasor pode forjar uma JWT vinculando qualquer ID de email a ele e obtendo acesso à conta da vítima”.
O impacto dessa vulnerabilidade, disse Jain, era bastante crítico, “pois poderia ter permitido a tomada total de contas. Muitos desenvolvedores integraram o login à Apple, pois é obrigatório para aplicativos que oferecem suporte a outros logins sociais. Só para citar alguns que usam “Sign in with Apple”: Dropbox, Spotify, Airbnb, Giphy (agora adquirido pelo Facebook). Esses aplicativos não foram testados, mas poderiam estar vulneráveis a uma tomada total das contas se não houvesse medidas de segurança durante a verificação de um usuário. A Apple também fez uma investigação de seus logs e determinou que não havia uso indevido ou comprometimento de contas devido a essa vulnerabilidade”.
Com agências internacionais