marzo 29, 2024

Experto recauda una recompensa de $ 100,000 para ayudar a aplastar Iniciar sesión con un error de Apple

Inicia sesión con Apple

Esperemos que ahora esté libre de errores.
Foto: manzana

Una vulnerabilidad de seguridad de “Iniciar sesión con Apple” podría haber permitido a los piratas informáticos detectar completamente la cuenta de las cuentas de usuario a las que se accede mediante la función. Afortunadamente, el error fue descubierto por el investigador de seguridad indio Bhavuk Jain.

En una publicación de blog publicada durante el fin de semana, Jain señaló que hizo que Apple fuera consciente de la vulnerabilidad en abril. Posteriormente fue reparado. Gracias al programa de recompensas de errores de Apple, el gigante tecnológico de Cupertino pagó $ 100,000.

El error fue un problema con los tokens web generados para iniciar sesión con el uso de Apple. Jain señaló que la vulnerabilidad permitía a cualquiera solicitar tokens para cualquier ID de correo electrónico de Apple. Estos podrían ser utilizados como tokens para verificar la identidad. Esto permitiría a los atacantes falsificar un token al vincularlo a una ID de correo electrónico. Luego podrían usarlo para acceder a la cuenta de la víctima.

“El impacto de esta vulnerabilidad fue bastante crítico, ya que podría haber permitido la adquisición de una cuenta completa”, escribió Bhavuk Jain. “Muchos desarrolladores tienen acceso integrado con Apple, ya que es obligatorio para las aplicaciones que admiten otros inicios de sesión sociales. Por nombrar algunos que usan Iniciar sesión con Apple: Dropbox, Spotify, Airbnb, Giphy (ahora adquirido por Facebook). Estas aplicaciones no han sido probado pero podría haber sido vulnerable a la adquisición de una cuenta completa si no se tomaran otras medidas de seguridad al verificar a un usuario “.

Según Jain, Apple realizó una investigación y determinó que ninguna cuenta ha sido comprometida debido a este acceso con los errores de Apple.

La generosidad de los errores de Apple

Apple presentó su nuevo y mejorado programa de recompensas de errores en la conferencia Black Hat de Las Vegas el verano pasado. Apple paga hasta $ 1 millón por algunas vulnerabilidades descubiertas en su software. La cantidad que Apple paga está relacionada con la gravedad potencial del problema descubierto. Por ejemplo, una recompensa de $ 1 millón requiere que una persona descubra un ataque de ejecución de núcleo de cadena completa con cero clics. Mientras tanto, $ 500,000 están destinados a un ataque a la red que no requiere interacción del usuario. Las vulnerabilidades detectadas antes del lanzamiento del software pueden obtener una bonificación del 50%.

El inicio de sesión con Apple fue una característica introducida en iOS 13. Es un sistema de inicio de sesión centrado en la privacidad, y con suerte ahora libre de errores, que Apple requiere es compatible con todas las aplicaciones que utilizan servicios de inicio de sesión de terceros. Me gusta Facebook.


// stack social info fbq('init', '309115492766084'); fbq('track', 'EditorialView');

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *