Secondo recenti rapporti, il ricercatore Bhavuk Jain ha appena scoperto una grave vulnerabilità con l’opzione “Accedi con Apple” ad aprile. Apparentemente, il difetto di sicurezza consente agli hacker malintenzionati di entrare in possesso degli account degli utenti.
Tuttavia, questa vulnerabilità sembra essere specifica per le applicazioni di terze parti che utilizzano la funzionalità “accedi con Apple”. Colpisce le applicazioni che non hanno implementato altre misure di sicurezza. Alcune delle applicazioni che fanno uso di questo sistema di login sono: Spotify, Dropbox, Airbnb e Giphy (recentemente acquistata da Facebook).
Jain afferma che il “Login con Apple” autentica gli utenti tramite JWT (token Web JSON). Di conseguenza, Apple offre agli utenti la possibilità di condividere l’e-mail legata al proprio ID Apple o indirizzo e-mail privato. Ciò creerà un JWT per l’accesso dell’utente. Secondo il rapporto, l’email JWT per l’ID e la firma del token sono state verificate utilizzando la chiave pubblica della compagnia. Dunque, gli utenti malintenzionati potrebbero creare un JWT e utilizzarlo per accedere all’account di una persona.
In un’intervista a The Hacker News, Jain ha parlato della gravità di questa vulnerabilità descrivendola come critica. Il ricercatore afferma che Apple è a conoscenza del problema. Dopo ulteriori controlli, la società ha riferito che nessun account è stato compromesso con questo metodo.
Inoltre, il problema è stato corretto e gli utenti possono continuare a utilizzare questo metodo di accesso. Secondo il Security Bounty Program della società, Jain riceverà un premio di $ 100.000 per aver segnalato la vulnerabilità.