Foram descobertas graves vulnerabilidades de segurança no sistema que nos permite fazer login com Apple ID em plataformas de internet. Essa fraqueza, que levou à apreensão das contas, foi detectada e denunciada à Apple.
Apple recompensa $ 100.000 por descoberta de vulnerabilidade
Uma pessoa chamada Bhavuk Jain é “ Faça login com a Apple” descobriu uma vulnerabilidade de dia zero em seu sistema, que lhe rendeu uma recompensa de $ 100.000 da empresa de tecnologia de Cupertino. Essa vulnerabilidade pode permitir que usuários mal-intencionados assumam completamente as contas de usuário de sites de terceiros usando o método de autenticação.
Em abril, Jain descobriu uma vulnerabilidade com o serviço Sign in with Apple que afeta aplicativos de terceiros que o utilizam e não implementam suas próprias medidas de segurança adicionais. Esta vulnerabilidade pode levar ao sequestro total de contas de usuário neste aplicativo de terceiros, tenham eles um ID Apple válido ou não.
Entrar com a Apple é um método de login para acessar contas online que foi introduzido no ano passado. Funciona de maneira semelhante aos botões de login do Google ou do Facebook que você vê com frequência. No entanto, a Apple regula a privacidade de seu sistema dizendo que os usuários podem entrar em um site ou aplicativo usando o iCloud sem ocultar seus endereços de e-mail.
O impacto da vulnerabilidade foi crítico, pois poderia permitir a invasão completa de contas. Essa opção de login foi integrada com as principais redes como Dropbox, Spotify, Airbnb e Giphy.
Jain alertou a Apple sobre o problema em abril. A empresa analisou as toras e não encontrou nenhum uso indevido. Este exploit não foi usado para sequestrar nenhuma conta. Desde então, a vulnerabilidade foi fechada. A Apple também concedeu a Jain uma recompensa de $ 100.000 por meio do programa Apple Security Bounty.
Deja una respuesta