Nuova vulnerabilità su tutti i dispositivi Apple!
Buongiorno cari lettori, oggi parleremo della più recente vulnerabilità che colpisce i dispositivi Apple.
Lo scorso anno alla conferenza Apple del WWDC è stata lanciata la funzionalità ' Accedi con Apple ', ed è stata introdotta nel mondo come un meccanismo di accesso che preserva la privacy che consente agli utenti di registrare un account con app di terze parti senza rivelare i loro indirizzi di posta elettronica effettivi (utilizzando ID Apple).
Apple recentemente
ha pagato al ricercatore indiano Bhavuk Jain con premio di $ 100.000 per aver
segnalato una vulnerabilità che colpisce il suo sistema
" Accedi con Apple ".
La vulnerabilità
ora corretta di patch avrebbe potuto consentire ai malintenzionati di attacchi
remoti e di ignorare l'autenticazione e prendere il possesso degli account su
servizi e app di terze parti che sono stati registrati utilizzando l'opzione
"Accedi con Apple".
Ho fatto un intervista a Bhavuk Jain, lui mi ha rivelato che la vulnerabilità che aveva
scoperto risiedeva nel modo in cui Apple stava convalidando un utente sul lato
client prima di avviare una richiesta dai server di autenticazione di Apple.
Per chi non lo sapesse, durante l'autenticazione di un utente tramite "Accedi con Apple", il server genera JSON Web Token (cioè uno standard di internet che firma il contenuto) contenente informazioni segrete che l'applicazione di terze parti utilizza per confermare l'identità dell'utente che ha effettuato l'accesso.
Bhavuk ha scoperto
che sebbene Apple chieda agli utenti di accedere al proprio account Apple prima
di avviare la richiesta, non stava confermando se la stessa persona stava
richiedendo JSON Web Token (JWT) nel passaggio successivo dal proprio server di
autenticazione.
Pertanto, la
mancata convalida in quella parte del meccanismo avrebbe potuto consentire a un
malintenzionato di fornire un ID Apple separato appartenente a una vittima,
inducendo i server Apple a generare un payload JWT valido per accedere a un
servizio di terze parti con l'identità della vittima .
"Ho scoperto
che potrei richiedere JWT per qualsiasi ID l’ e-mail da Apple e quando la firma
di questi token è stata verificata utilizzando la chiave pubblica di Apple,
sono risultati validi. Ciò significa che un malintenzionato potrebbe
falsificare un JWT collegando qualsiasi ID e-mail e ottenendo l'accesso a il resoconto
della vittima ", ha detto Bhavuk.
Il ricercatore ha
confermato che la vulnerabilità ha funzionato anche se si sceglie di nascondere
il proprio ID e-mail dai servizi di terze parti e può anche essere sfruttato
per registrare un nuovo account con l'ID Apple della vittima.
"L'impatto di
questa vulnerabilità è stato piuttosto critico in quanto ha potuto consentire
un completo acquisizione dell'account. Molti sviluppatori hanno integrato
Accedi con Apple poiché è obbligatorio per le applicazioni che supportano altri
accessi social. Per citarne alcuni che usano Accedi con Apple - Dropbox,
Spotify, Airbnb, Giphy, ha aggiunto Bhavuk.
Sebbene la
vulnerabilità esistesse sul lato Apple del codice, il ricercatore ha affermato
che è possibile che alcuni servizi e app che offrono "Accedi con
Apple" ai propri utenti stiano già utilizzando un secondo fattore di
autenticazione che potrebbe risolvere il problema per i loro utenti.
Bhavuk ha
segnalato responsabilmente il problema al team di sicurezza di Apple e la
società di cupertino ha corretto la vulnerabilità.
Oltre a pagare la
ricompensa di bug al ricercatore, in risposta, l'azienda ha anche confermato di
aver condotto un'indagine sui registri del server e ha scoperto che il difetto
non è stato sfruttato per compromettere un account.
