logo_toms
  • HOME
  • Tom’s hardware
  • Game Division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLABS
  • More
  • forum
  • offerte
  • forum
hammer_toms
  • HOME
  • Tom’s hardware
  • Game Division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLABS
  • More
  • forum
  • offerte
  • forum
  • Recensioni
  • Lavora con noi!
  • Xiaomi Smart Band 7
  • Nothing phone (1)
  • GCam
  • Android 13
  • App della settimana
  • Codici sconto
Android

Accedi con Apple: scovato un bug da 100 mila dollari

Recensioni
Lavora con noi!
Xiaomi Smart Band 7
Nothing phone (1)
GCam
Android 13
App della settimana
Codici sconto

Tom's Hardware vive grazie al suo pubblico. Quando compri qualcosa dai nostri link, potremmo guadagnare una commissione. Scopri di più

Android

Accedi con Apple: scovato un bug da 100 mila dollari

di Lucia Massaro | lunedì 1 Giugno 2020 10:27
  • 2 min
  • vai ai commenti
Più informazioni su
  • App
  • apple
  • Bug
  • Hacker
  • Sign In With Apple
  • Android
  • apple

100.000 dollari. È questa la ricompensa data dal colosso di Cupertino a Bhavuk Jain, giovane sviluppatore indiano che ha scovato una importante vulnerabilità nel sistema di autenticazione “Accedi con Apple”. Un bug zero day presente sin dal primo giorno di implementazione del servizio e che – a detta della società californiana – non sarebbe mai stato sfruttato.

Accedi con Apple è stata una delle grandi novità annunciate durante la WWDC 2019. Si tratta di un’opzione d’accesso disponibile sulle app e servizi sviluppati da terze parti che si pone come alternativa ai già noti accessi tramite account Facebook o Google. A differenza di questi ultimi, però, la soluzione di Apple sfrutta il Face ID e dà la possibilità all’utente generare un indirizzo e-mail casuale da usare per l’accesso ai singoli siti. Tutto ciò non consente di risalire all’identità dell’utente.

Sign in with Apple

Sul proprio blog, Jain spiega come era possibile ingannare il sistema e appropriarsi dell’identità di uno sconosciuto semplicemente conoscendo l’indirizzo mail del malcapitato. Su richiesta dell’utente, il server Apple utilizza un JSON Web Token (JWT) per l’autenticazione oppure crea un codice specifico che serve per generare un JWT. Durante l’autorizzazione, l’utente può decidere se condividere o meno l’indirizzo mail (personale o quello fittizio) con i servizi di terze parti. Dopo l’autorizzazione, Apple crea un JWT che contiene l’indirizzo mail, il quale viene utilizzato dall’app di terze parti per far accedere l’utente.

Ad aprile, lo sviluppatore ha scoperto che – dopo una prima richiesta con una mail valida – era possibile richiedere un JWT inserendo l’indirizzo mail iCloud di altre persone. Così facendo, l’autenticazione veniva comunque accettata da Apple. In questo modo, un malintenzionato avrebbe potuto avere accesso all’account della vittima. Il bug comunque sarebbe stato sfruttabile su quelle applicazioni e servizi che non utilizzano altri metodi di verifica, come l’autenticazione a due fattori.

Ad ogni modo, come detto in apertura, Apple ha fatto le proprie indagini confermando che la vulnerabilità non è stata sfruttata e che nessun account ha subito violazioni. Il tutto dunque si è concluso con una ricompensa di 100 mila dollari per Bhavuk Jain come previsto dal programma di Bug Bounty.

Il nuovo iPhone SE 2020 è disponibile su Amazon a partire da 499 euro. Lo trovate a questo link.

di Lucia Massaro |
lunedì 1 Giugno 2020 10:27
  • 2 min
  • vai ai commenti
Shares
Più informazioni su
  • App
  • apple
  • Bug
  • Hacker
  • Sign In With Apple
  • Android
  • apple

Scarica gratis

l'app di Tom's Hardware
Vuoi ricevere aggiornamenti sui tuoi topics preferiti ogni giorno? Iscriviti alla newsletter
Leggi i commenti
toms_logo_white_footer
  • Privacy
  • Chi siamo
  • Contattaci
  • Feed RSS
  • Codici sconto
Google Play
App Store

3LABS S.R.L. • Via Dante 16 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

Copyright © 2022 - 3Labs Srl. - Tutti i diritti riservati. - credits: logo_edinet


  • Tom's Hardware
  • Game division
  • MobileLabs
  • Cultura Pop
  • MotorLabs
  • B2BLabs
  • More
  • Home
  • Le news di oggi
  • Le news di ieri
  • Le news dell'altro ieri

Ultime news

Ultimo video

Da non perdere su Tom's Hardware
easeus
50% di sconto su EaseUS, il meglio per backup e recupero dati!
Vi serve un software di recupero dati affidabile e che non costi troppo? Date un'occhiata alle soluzioni EaseUS scontate del…
2 di Dario De Vita - 6 ore fa
  • Backup
  • Offerte e Sconti
  • Offerte Software
  • programmi di backup
  • recupero dati
  • recupero file
  • software di backup
2
Offerta
MyProtein
In forma per l’estate con i saldi 70% + 15% di MyProtein
Non siete ancora in forma per la stagione estiva? MyProtein sta scontando tantissimi dei suoi prodotti a prezzi super!
2 di Francesco Caputo - 10 ore fa
  • Cibo
  • Offerte Cibo e Bevande
  • Offerte e Sconti
  • offerte MyProtein
2
Offerta