Una vulnerabilidad en la función de autenticación “Conectar con Apple” podría permitir a los hackers acceder a los datos personales de los usuarios. Afortunadamente, un experto en seguridad lo descubrió y advirtió a Apple, quien arregló la vulnerabilidad y lo premió con un cheque de 100.000 dólares.
Siguiendo el ejemplo de Facebook y Google, Apple ha puesto en marcha su propio servicio de identificación y autenticación de servicios de terceros, como un medio de comunicación, un servicio de música en línea o un sitio comercial. Su nombre: “Conectando con Apple”. Con servicios compatibles, te permite conectarte con tu ID de Apple sin tener que registrarte, y por lo tanto dar mucha información personal. Especialmente porque Apple simplemente ofrece crear una dirección de correo electrónico aleatoria, a diferencia de Facebook y Google. Es rápido, eficiente, pero un tanto peligroso.
Como prueba, el experto en seguridad, Bhavuk Jain, descubrió una falla en este sistema de autenticación, y Apple acaba de agradecerle y recompensarlo con un cheque para una nueva dirección de correo electrónico… cien mil dólares. Les había advertido sobre el defecto en abril, y Apple pudo arreglarlo antes de que fuera revelado. “En abril, descubrí un fallo de día cero en el programa Sign In With Apple que afecta a las aplicaciones de terceros que lo utilizan y no tienen sus propias medidas de seguridad”, escribe este investigador. Este error habría dado lugar a tener acceso completo a las cuentas de los usuarios de esta aplicación de terceros, independientemente de que la víctima tuviera o no un ID de Apple válido.
En el segundo paso de la identificación, Apple da al usuario la opción de compartir o no su ID de correo electrónico de Apple con la aplicación de terceros. Si el usuario elige ocultar el ID de correo electrónico, Apple generará un ID sustitutivo, específico para el usuario y esa aplicación. Bhavuk Jain
El fallo radica en la aplicación JSON Web Token (JWT), un método seguro de intercambio de información mediante los servicios de autenticación de Apple. Esta ficha es utilizada por la aplicación de terceros para confirmar la identidad del usuario, pero no hubo una verificación retroactiva. Como resultado, un hacker podría proporcionar un correo electrónico de identificación de Apple que pertenecía a la víctima para crear un “token” válido.
Una vez tendida la trampa, el pirata informático podía entonces conectarse a una aplicación de terceros utilizando la identidad de la víctima, y así obtener acceso a sus datos en esa aplicación. En el caso de Spotify o Dropbox, esto podría ser comprometedor ya que podría haber datos personales, pero también datos bancarios.
Con información de: Info Security Magazine.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian