Bhavuk Jain (@bhavukjain1), encontró una vulnerabilidad zero-day que afectaba a aplicaciones de terceros que usaban como método de autenticación el login con Apple.
El ID de correo electrónico de Apple es todo lo que se necesita para controlar cuentas en servicios que implementen la tecnología de Apple, gracias a una error en el servicio de autenticación de este.
Hay dos formas posibles de autenticar a un usuario en Apple: utilizando un JWT (JSON Web Token) o un código generado por el servidor de Apple.
El ataque consiste en que un externo podría falsificar un JWT al vincular cualquier ID de correo electrónico y obtener acceso a la cuenta de la víctima.
La severidad de esta vulnerabilidad es crítica ya que permitiría el robo de cuentas en servicios que implementen la tecnología de Apple. Muchos desarrolladores han integrado un método de autenticación con Apple, como Dropbox, Spotify, Airbnb, Giphy (ahora adquirido por Facebook). Estas aplicaciones pueden ser vulneradas si no han tomado otras medidas de seguridad adicionales para verificación del usuario.
Apple ha reparado la falla, e indicó que investigó sus registros internos y no se encontró pruebas de mal uso o compromiso de la cuenta por esta vulnerabilidad.
Más información:
- https://unaaldia.hispasec.com/2020/06/zero-day-en-el-servicio-de-autenticacion-de-apple-es-posible-tomar-el-control-de-las-cuentas-que-lo-implementen.html
- https://bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/
- https://support.apple.com/en-us/HT210318
- https://www.bleepingcomputer.com/news/apple/sign-in-with-apple-vulnerability-earns-researcher-100-000/