Apple paga 100.000 dólares al hacker que descubrió un bug en ‘Sign in with Apple’

    ¡Un hacker previno a Apple de un grave fallo y se llevó 100 mil dólares!

    sign-in-with-apple

    Iniciar sesión con Apple en aplicaciones de terceros es una práctica cómoda a la que la mayoría recurre desde sus dispositivos de la firma. Sin embargo, este hábito casi automático, escondía una vulnerabilidad que ha sido descubierta hace pocos días. Eso sí, afortunadamente y a pesar de ser una falla grave, ninguna cuenta se vio comprometida debido a ello.

    El error fue descubierto por Bhavuk Jain, un hacker al que Apple pagó 100.00 dólares por su aporte. Después del hecho, Jain decidió publicar algunos detalles de su hallazgo en su blog. Y siempre haciendo énfasis en que ya no existe ningún peligro al respecto, describe que este error podría haber resultado en una toma de control total de la cuenta de usuario en esa aplicación de terceros, independientemente de que una víctima tenga una ID de Apple válida o no.

    La posibilidad de Iniciar sesión con Apple fue desarrollado por Apple para ayudar a los usuarios a suscribirse a los servicios utilizando su ID de Apple sin tener que completar formularios, verificar correos electrónicos, elegir nuevas contraseñas o entregar sus direcciones de correo electrónico personales, vaya lo más tedioso al ingresar a un nuevo servicio. Según ha onctado Jain:

    Descubrí que podía solicitar JWTs para cualquier ID de correo electrónico de Apple y cuando se verificó la firma de estos tokens utilizando la clave pública de Apple, se mostraron como válidos. Esto significa que un atacante podría falsificar un JWT al vincular cualquier ID de correo electrónico y obtener acceso a la cuenta de la víctima.

    De no haber sido descubierta a tiempo, «podría haber permitido la toma de control de la cuenta completa», incluso en algunas aplicaciones de terceros, como Dropbox, Spotify, Airbnb y Giphy, que podrían haber sido vulnerables a una toma de control de la cuenta completa. ¡Pero se ha prevenido un daño mucho mayor a tiempo!