Apple paga US$ 100 mil a dev que encontrou falha no ‘Iniciar sessão’

O programador e pesquisador indiano Bhavuk Jain recebeu da Apple US$ 100 mil como recompensa por ter relatado uma vulnerabilidade no sistema ‘Iniciar sessão com a Apple’. A vulnerabilidade – já corrigida – permitia que a autenticação das contas em serviços e aplicativos de terceiros fosse ignorada.

Em entrevista ao The Hacker News, Bhavuk contou que a falha acontecia na forma como a Apple validava um usuário antes de solicitar a autenticação da empresa. O serviço, lançado na conferência WWDC em 2019, solicita ao servidor um JWT (JSON Web Token) com informações que validam a identidade do usuário.

A descoberta revela que, apesar de solicitar o login do usuário, a Apple não validava se era a mesma pessoa solicitando o JWT durante a autenticação do servidor. Assim, um invasor poderia assumir contas que foram registradas usando o serviço.

Segundo Bhavuk, era possível solicitar JWTs “para qualquer ID da Apple” e, depois da assinatura dos tokens ser verificada “usando a chave pública da Apple”, os acessos eram válidos.

“Isso significa que um invasor pode forjar um JWT vinculando qualquer ID de e-mail e obter acesso a conta da vítima”, disse ele.

O pesquisador relatou a vulnerabilidade à equipe de segurança da Apple em maio e ela foi corrigida. Além de pagar a recompensa, a Apple disse que uma investigação nos logs dos seus servidores confirmou que a falha não foi explorada e que nenhuma conta foi comprometida.

Impacto crítico

O ‘Iniciar sessão com a Apple’ é um mecanismo de login que visa a privacidade do usuário. Ele é usado para criar contas em aplicativos e serviços, porém não revela os endereços reais de e-mail.

Em outras palavras, se você precisar criar uma nova conta em algum app, site ou serviço, pode usar o Apple ID – se a opção estiver disponível.

O pesquisador confirmou que a vulnerabilidade podia expor até mesmo contas com endereço de e-mail oculto em serviços de terceiros. Ele classifica que o impacto da vulnerabilidade “foi bastante crítico, pois poderia permitir que uma conta inteira fosse tomada”.

Ele ainda exemplifica que apps populares usam o serviço, como “Dropbox, Spotify, Airbnb, Giphy (agora adquirido pelo Facebook)”.