Apple paga US$ 100 mil a dev que encontrou falha no 'Iniciar sessão'

1 min de leitura
Imagem de: Apple paga US$ 100 mil a dev que encontrou falha no 'Iniciar sessão'
Imagem: Apple/Divulgação
Essa não é uma matéria patrocinada. Contudo, o TecMundo pode receber uma comissão das lojas, caso você faça uma compra.
Avatar do autor

Wellington Arruda

via nexperts

O programador e pesquisador indiano Bhavuk Jain recebeu da Apple US$ 100 mil como recompensa por ter relatado uma vulnerabilidade no sistema 'Iniciar sessão com a Apple'. A vulnerabilidade – já corrigida – permitia que a autenticação das contas em serviços e aplicativos de terceiros fosse ignorada.

Em entrevista ao The Hacker News, Bhavuk contou que a falha acontecia na forma como a Apple validava um usuário antes de solicitar a autenticação da empresa. O serviço, lançado na conferência WWDC em 2019, solicita ao servidor um JWT (JSON Web Token) com informações que validam a identidade do usuário.

A descoberta revela que, apesar de solicitar o login do usuário, a Apple não validava se era a mesma pessoa solicitando o JWT durante a autenticação do servidor. Assim, um invasor poderia assumir contas que foram registradas usando o serviço.

Pesquisador mostra esquema de falha em serviço de login da Apple.Pesquisador mostra esquema de falha em serviço de login da Apple.Fonte:  The Hacker News/Reprodução 

Segundo Bhavuk, era possível solicitar JWTs "para qualquer ID da Apple" e, depois da assinatura dos tokens ser verificada "usando a chave pública da Apple", os acessos eram válidos.

"Isso significa que um invasor pode forjar um JWT vinculando qualquer ID de e-mail e obter acesso a conta da vítima", disse ele.

O pesquisador relatou a vulnerabilidade à equipe de segurança da Apple em maio e ela foi corrigida. Além de pagar a recompensa, a Apple disse que uma investigação nos logs dos seus servidores confirmou que a falha não foi explorada e que nenhuma conta foi comprometida.

Impacto crítico

O 'Iniciar sessão com a Apple' é um mecanismo de login que visa a privacidade do usuário. Ele é usado para criar contas em aplicativos e serviços, porém não revela os endereços reais de e-mail.

Em outras palavras, se você precisar criar uma nova conta em algum app, site ou serviço, pode usar o Apple ID – se a opção estiver disponível.

O pesquisador confirmou que a vulnerabilidade podia expor até mesmo contas com endereço de e-mail oculto em serviços de terceiros. Ele classifica que o impacto da vulnerabilidade "foi bastante crítico, pois poderia permitir que uma conta inteira fosse tomada".

Ele ainda exemplifica que apps populares usam o serviço, como "Dropbox, Spotify, Airbnb, Giphy (agora adquirido pelo Facebook)".

Cupons de desconto TecMundo:

Cupom KaBuM: 10% off no site TODO

Eu quero

Black Friday Casas Bahia: até 48% Off + até 25% no cupom

Eu quero

Cupom Amazon Black Friday até 80%

Eu quero

Smartphones com até 18% Off na Black Friday com Cupom Samsung

Eu quero

15% Off no Cupom Alura EXCLUSIVO

Eu quero
* Esta seleção de cupons é feita em parceria com a Savings United

Fontes

Categorias

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.

Veja também

Canais Exclusivos

PUBLICIDADE

Mais lidas hoje

Últimas Notícias

Ver todas as Últimas Notícias