Contenuto bloccato. Devi accettare i cookies per visualizzare questo contenuto.

AppleNotizie

Uno sviluppatore riceve 100.000 dollari per un bug di Accedi con Apple

Sono stati rivelati i dettagli di una vulnerabilità, ora corretta, di "Accedi con Apple", che avrebbe potuto consentire a un utente malintenzionato di assumere il controllo dell'account di un utente.

Contenuto bloccato. Devi accettare i cookies per visualizzare questo contenuto.

Ad aprile, il ricercatore Bhavuk Jain ha scoperto una vulnerabilità critica di Accedi con Apple che avrebbe potuto comportare l’acquisizione di alcuni account utente. Il bug era specifico delle app di terze parti che utilizzavano la funzione e non implementavano ulteriori misure di sicurezza.

Jain nota che Accedi con Apple funziona autenticando un utente tramite un JWT (JSON Web Token) o un codice generato dal server Apple. Il colosso di Cupertino offre quindi agli utenti la possibilità di condividere l’e-mail legata al proprio ID Apple o un indirizzo e-mail di inoltro privato, che crea un JWT utilizzato per accedere.

Jain ha quindi scoperto che, grazie al bug, era possibile richiedere un JWT per qualsiasi ID e-mail superando il processo di validazione utilizzando la chiave pubblica di Apple. Così facendo, un utente malintenzionato poteva creare un JWT attraverso questo processo e ottenere l’accesso all’account della vittima.

Accedi con Apple L’impatto di questa vulnerabilità è stato piuttosto critico in quanto avrebbe potuto consentire l’acquisizione completa dell’account. Molti sviluppatori hanno integrato Accedi con Apple nelle loro app poiché è obbligatorio per le applicazioni che supportano altri accessi social. Per citarne alcuni che usano Accedi con Apple: Dropbox, Spotify, Airbnb, Giphy (ora acquisito da Facebook).

Secondo Jain, Apple ha condotto un’indagine e ha concluso che nessun account è stato compromesso utilizzando questo metodo prima che la vulnerabilità fosse corretta. Jain ha ricevuto 100.000 dollari da Apple nell’ambito del suo programma di sicurezza Bounty per aver segnalato il bug.

Contenuto bloccato. Devi accettare i cookies per visualizzare questo contenuto.

Continua a leggere..

Back to top button
Close

Stai utilizzando un AdBlocker


iSpazio è un portale gratuito, supportato da Pubblicità. Non faremo mai pagare i nostri utenti per leggere le Notizie.

Le pubblicità su questo Blog non sono mai state di tipo invasivo e sono davvero poche, posizionate in maniera tale da non arrecare disturbo. Qui NON TROVERAI MAI Pubblicità Video, Pubblicità con riproduzione automatica oppure Pubblicità che si sovrappongono allo schermo!

Per tutti questi motivi, ti invitiamo a disattivare il tuo AdBlocker soltanto su questo sito per continuare la navigazione. Grazie di cuore!

Informativa

Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy.

Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie.