“Accedi con Apple” aveva un bug enorme. Nessuno se ne era accorto, e nessuno l’ha sfruttato

6/2/2020

I siti che già integrano Accedi con Apple non sono molti, ma troviamo comunque Dropbox, Spotify e Airbnb, quindi piattaforme grosse.

Bhavuk Jain, lavorando sulla implementazione di “Accedi con Apple”, ha trovato un bug “zero day”, un bug presente nel sistema dalla sua creazione che nessuno aveva ancora scoperto e che, secondo Apple, non è mai stato sfruttato.

Autenticandosi tramite "Accedi con Apple" un utente può generare un indirizzo email finto da usare per l’accesso ai singoli siti, senza quindi rivelare la sua vera identità. (DDay.it - Digital Day)

Ne parlano anche altri giornali

Quando vedi il tasto Accedi con Apple in un’app o su un sito web aderente, significa che puoi configurare un account e accedervi utilizzando il tuo ID Apple. (Punto Informatico)

La funzione Accedi con Apple si basa su gettoni JSON Web Token (JWT) o un codice generato dai server Apple. Grazie alla scoperta di un bug di sicurezza uno sviluppatore ha ricevuto da Apple la somma di 100.000 dollari. (iPhone Italia)

Come accennato sopra, Apple ha dichiarato di aver esaminato i dati in suo possesso relativi alla vicenda e di aver constatato come questa vulnerabilità non sia mai stata utilizzata da malintenzionati. La cifra è la ricompensa per aver portato alla luce un bug zero-day piuttosto grave, anche se a detta del produttore stesso mai sfruttato dai malintenzionati. (MobileWorld)

Apple ha chiuso diversi Apple Store per evitare danneggiamenti e furti nei locali in seguito alle proteste per la tragica uccisione di George Floyd, ma a scoraggiare i ladri ci pensa anche un software apposito installato sugli iPhone presenti all’interno dei singoli store. (iPhone Italia)

Minneapolis, Apple si schiera coi manifestanti. Di Giacomo Martiradonna lunedì 1 giugno 2020. Da sempre schierata a favore dell'inclusione e dei diritti umani, Apple prende una storica posizione sulle tragiche vicende di Minneapolis e sulla morte di George Floyd. (Melablog)

Il tutto dunque si è concluso con una ricompensa di 100 mila dollari per Bhavuk Jain come previsto dal programma di Bug Bounty. Sul proprio blog, Jain spiega come era possibile ingannare il sistema e appropriarsi dell’identità di uno sconosciuto semplicemente conoscendo l’indirizzo mail del malcapitato. (Tom's Hardware Italia)