Accedi con Apple, falla 0-day

Accedi con Apple, una falla 0-day che vale $100.000

Un ricercatore individua una grave falla di sicurezza nel sistema Accedi con Apple. Cupertino indaga, corregge il bug 0-day e “ringrazia” il ricercatore pagando una taglia da $100.000.

I sistemi Apple sono notori per la loro tendenza a “sviluppare” ogni sorta di bug e falla di sicurezza, e il problema non riguarda solo l’immancabile iOS. L’ultima vulnerabilità (in ordine di tempo) è venuta alla luce in Accedi con Apple, sistema di autenticazione che presta(va) in fianco a un baco 0-day potenzialmente molto pericoloso. Bug che è stato ora corretto, e che ha fruttato un bel gruzzolo in dollari al suo scopritore.

Come i sistemi di autenticazione “universali” della concorrenza (Google, Facebook ecc.), Accedi con Apple permette di utilizzare l’ID Apple già in possesso dell’utente per accedere ad applicazioni e servizi di terze parti senza svelare a questi ultimi l’e-mail originaria. Come scoperto da Bhavuk Jain, però, Accedi con Apple può essere violato compromettendo la sicurezza e i dati degli utenti.

hacker-periodo-natalizio-device-esposti-rischi

L’origine della falla 0-day identificata da Jain si trova nel meccanismo di creazione del JSON Web Token (JWT), un token di autenticazione che, a discrezione dell’utente, può svelare l’e-mail originaria oppure camuffarla con un nuovo indirizzo “fittizio” controllato da Apple. Il problema è che i server di autenticazione di Cupertino rispondono a qualsiasi richiesta JWT – anche quelle riguardanti e-mail potenzialmente controllate da soggetti con intenzioni malevole.

Una richiesta JWT fasulla può garantire l’accesso all’account terzo dell’utente, con implicazioni ben comprensibili sulla sicurezza dei dati ivi contenuti. Jain aveva comunicato l’esistenza del bug 0-day a Apple già in aprile, e dopo le dovute indagini la corporation ha corretto il baco e compensato lo sviluppatore con $100.000 di taglia secondo il programma Apple Security Bounty.

PCProfessionale © riproduzione riservata.
Ha avuto il suo incontro fatale con la tecnologia negli anni '80, prima con i giochi arcade e poi con l'Intellivision di Mattel, e da allora la passione è andata solo aumentando. Quando non passa il proprio tempo a consumare notizie sull'attualità informatica ama leggere (su carta), scrivere, fotografare e collezionare vecchi libri sui sistemi operativi obsoleti.