Accedi con Apple: scovato un bug da 100 mila dollari

100 mila dollari per lo sviluppatore che ha scovato un bug in "Accedi con Apple" che permetteva a un malintenzionato di accedere agli account della potenziale vittima conoscendo solamente l'indirizzo mail. Bug mai sfruttato, afferma Apple.

Avatar di Lucia Massaro

a cura di Lucia Massaro

100.000 dollari. È questa la ricompensa data dal colosso di Cupertino a Bhavuk Jain, giovane sviluppatore indiano che ha scovato una importante vulnerabilità nel sistema di autenticazione “Accedi con Apple”. Un bug zero day presente sin dal primo giorno di implementazione del servizio e che – a detta della società californiana – non sarebbe mai stato sfruttato.

Accedi con Apple è stata una delle grandi novità annunciate durante la WWDC 2019. Si tratta di un’opzione d’accesso disponibile sulle app e servizi sviluppati da terze parti che si pone come alternativa ai già noti accessi tramite account Facebook o Google. A differenza di questi ultimi, però, la soluzione di Apple sfrutta il Face ID e dà la possibilità all’utente generare un indirizzo e-mail casuale da usare per l’accesso ai singoli siti. Tutto ciò non consente di risalire all’identità dell’utente.

Sul proprio blog, Jain spiega come era possibile ingannare il sistema e appropriarsi dell’identità di uno sconosciuto semplicemente conoscendo l’indirizzo mail del malcapitato. Su richiesta dell’utente, il server Apple utilizza un JSON Web Token (JWT) per l’autenticazione oppure crea un codice specifico che serve per generare un JWT. Durante l’autorizzazione, l’utente può decidere se condividere o meno l’indirizzo mail (personale o quello fittizio) con i servizi di terze parti. Dopo l’autorizzazione, Apple crea un JWT che contiene l’indirizzo mail, il quale viene utilizzato dall'app di terze parti per far accedere l’utente.

Ad aprile, lo sviluppatore ha scoperto che – dopo una prima richiesta con una mail valida - era possibile richiedere un JWT inserendo l’indirizzo mail iCloud di altre persone. Così facendo, l’autenticazione veniva comunque accettata da Apple. In questo modo, un malintenzionato avrebbe potuto avere accesso all’account della vittima. Il bug comunque sarebbe stato sfruttabile su quelle applicazioni e servizi che non utilizzano altri metodi di verifica, come l’autenticazione a due fattori.

Ad ogni modo, come detto in apertura, Apple ha fatto le proprie indagini confermando che la vulnerabilità non è stata sfruttata e che nessun account ha subito violazioni. Il tutto dunque si è concluso con una ricompensa di 100 mila dollari per Bhavuk Jain come previsto dal programma di Bug Bounty.

Il nuovo iPhone SE 2020 è disponibile su Amazon a partire da 499 euro. Lo trovate a questo link.