"Accedi con Apple" soffriva di un bug gravissimo, ma fortunatamente nessuno se ne è accorto

Il ricercatore Bhavuk Jain, forte di numerose esperienze pregresse nel campo della ricerca di bug, è riuscito a portarsi a casa ben 100.000$ premio da parte di Apple. La cifra è la ricompensa per aver portato alla luce un bug zero-day piuttosto grave, anche se a detta del produttore stesso mai sfruttato dai malintenzionati.

Per la precisione stiamo parlando di una vulnerabilità che affliggeva la funzionalità Accedi con Apple, che permette agli utenti di accedere a siti o servizi in maniera sicura e anonima e che si pone come alternativa alle altre piattaforme di social login come Facebook Login o l'accesso tramite e-mail. Jain ha spiegato come questo meccanismo funzioni tramite l'autenticazione dell'utente attraverso un JSON Web Token, ovvero un codice generato dai server di Apple. Superato questo primo passo, il sistema da all'utente la possibilità di condividere o l'e-mail personale oppure di generarne una generica nel momento dell'accesso.

Bhavuk Jain arrivato a ciò ha scoperto che dopo una prima richiesta con una mail valida (in questo caso la sua), era possibile creare un token utilizzando una qualsiasi email di iCloud, anche di altre persone, e questa veniva comunque autorizzata da Apple. Di fatto, questa falla avrebbe permesso ad un malintenzionato di accedere tranquillamente agli account di tutti i siti non protetti da autenticazione a due fattori o altri sistemi di sicurezza relativi alla procedura di login.

Fortunatamente il problema è stato scovato e già risolto. Come accennato sopra, Apple ha dichiarato di aver esaminato i dati in suo possesso relativi alla vicenda e di aver constatato come questa vulnerabilità non sia mai stata utilizzata da malintenzionati.