O programador e pesquisador indiano Bhavuk Jain fez o inimaginável para muitos, encontrou uma falha de segurança da Apple que sempre está em busca da perfeição. Então por esta descoberta incrível ele faturou na menos que US$ 100 mil como recompensa por ter relatado uma vulnerabilidade.
A vulnerabilidade foi no sistema ‘Iniciar sessão com a Apple’. Já corrigida a vulnerabilidade permitia que a autenticação das contas em serviços e aplicativos de terceiros fosse ignorada.
Em entrevista ao The Hacker News, Bhavuk contou que a falha acontecia na forma como a Apple validava um usuário antes de solicitar a autenticação da empresa. O serviço, lançado na conferência WWDC em 2019, solicita ao servidor um JWT (JSON Web Token) com informações que validam a identidade do usuário.
A descoberta revela que, apesar de solicitar o login do usuário, a Apple não validava se era a mesma pessoa solicitando o JWT durante a autenticação do servidor. Assim, um invasor poderia assumir contas que foram registradas usando o serviço.
Segundo Bhavuk, era possível solicitar JWTs “para qualquer ID da Apple” e, depois da assinatura dos tokens ser verificada “usando a chave pública da Apple”, os acessos eram válidos.
“Isso significa que um invasor pode forjar um JWT vinculando qualquer ID de e-mail e obter acesso a conta da vítima”, disse ele.
O relato feito pelo pesquisador sobre a vulnerabilidade a equipe de segurança da Apple foi em maio que também as pressas foi corrigida. Além de dar uma recompensa, a Apple disse que uma investigação nos logs dos seus servidores confirmou que a falha não foi explorada e que nenhuma conta foi comprometida.
Fonte: The Hacker News
Faça já parte da família Itecnews, acesse e conheça nossa pagina no Facebook e Instagram, interaja conosco em nossas redes sociais e tenha acesso as melhores novidades tecnológicas do mundo.
Empreendedor digital, e redator do portal de noticias iTecnews e do blog ExplosãoPromo. A sua experiencia com Deus é coisa mais importante que você tem.