Apple paga al desarrollador $ 100,000 por encontrar un error grave en el sistema 'Iniciar sesión con Apple'

Apple ha pagado a un desarrollador 100.000 dólares por encontrar un error grave en su sistema "Iniciar sesión con Apple".

Apple ha pagado al desarrollador Bhavuk Jain una recompensa de 100.000 dólares por encontrar un error grave en su sistema de inicio de sesión " Iniciar sesión con Apple" que podría haber permitido que actores malintencionados se apoderaran de la cuenta de un usuario en sitios web y aplicaciones específicos.

Según Jain , el error estaba relacionado con la forma en que Apple validaba a los usuarios que usaban Iniciar sesión con Apple. El servicio de inicio de sesión, que fue lanzado por la compañíael año pasado y se puede usar con  ID deApple , está diseñado para limitar la cantidad de seguimiento habilitado por otros servicios de inicio de sesión, como Facebook y Google. Uno de los mayores puntos de venta de Iniciar sesión con Apple es la capacidad de ocultar su dirección de correo electrónico de la aplicación o servicio de terceros.

Para autorizar a un usuario, Sign in with Apple utiliza un JWT (JSON Web Token) o un código generado por los servidores de Apple. Mientras autoriza, Apple ofrece a los usuarios la opción de compartir u ocultar su ID de Apple con la aplicación de terceros. Si los usuarios optan por no compartir su correo electrónico con una aplicación específica, Apple genera una ID de correo electrónico de Apple específica del usuario para ese servicio.

Después de la autorización exitosa, dependiendo de lo que elija el usuario, Apple produce un JWT que contiene el ID de correo electrónico . Esta ID es posteriormente utilizada por la aplicación de terceros para iniciar sesión.

Aquí es donde entra el error. Jain dijo que en abril descubrió que podía solicitar JWT para cualquier ID de correo electrónico de Apple.

“Cuando se verificó la firma de estos tokens utilizando la clave pública de Apple, se mostraron válidos. Esto significa que un atacante podría falsificar un JWT al vincularle cualquier ID de correo electrónico y obtener acceso a la cuenta de la víctima ”, explicó el desarrollador en un blog.

Según Hacker News , Jain descubrió que esto se debía a que, aunque Apple pidió a los usuarios que iniciaran sesión en su cuenta de Apple antes de iniciar la solicitud de autorización, no estaba validando si la misma persona estaba solicitando un JWT en el siguiente paso desde su servidor de autenticación.

La vulnerabilidad afectó a las aplicaciones de terceros que la estaban utilizando y no implementaron sus propias medidas de seguridad adicionales.

The Hacker News informa que los actores malintencionados podrían explotar esta vulnerabilidad incluso si los usuarios optan por ocultar su ID de correo electrónico de Apple de los servicios de terceros y que también podría usarse para registrar una nueva cuenta con el ID de Apple de la víctima.

“El impacto de esta vulnerabilidad fue bastante crítico, ya que podría haber permitido la toma de control total de la cuenta. Muchos desarrolladores han integrado Iniciar sesión con Apple, ya que es obligatorio para aplicaciones que admiten otros inicios de sesión sociales ”, dijo Jain, y agregó que algunos ejemplos incluyen Dropbox, Spotify, Airbnb y Giphy. "Estas aplicaciones no se probaron, pero podrían haber sido vulnerables a una toma de control total de la cuenta si no hubiera otras medidas de seguridad implementadas al verificar a un usuario".

No obstante, Jain dijo que Apple había llevado a cabo una investigación y determinó que no había habido ningún uso indebido o compromiso de la cuenta debido a la vulnerabilidad. Uf. Según varios medios , Apple ha parcheado la vulnerabilidad.

Es bueno ver que, aunque parece que el mundo es un desastre en este momento, todavía hay un buen trabajo en marcha.

Suggested posts

Razer afirma que el Blade 14 es el portátil para juegos de 14 pulgadas más potente hasta ahora

Razer afirma que el Blade 14 es el portátil para juegos de 14 pulgadas más potente hasta ahora

El nuevo Razer Blade 14. Razer ya fabrica una amplia gama de computadoras portátiles de 13 a 17 pulgadas, pero con el nuevo Blade 14, Razer afirma que se ha convertido en el portátil para juegos de 14 pulgadas más potente hasta el momento.

Ese anuncio viral de la fiesta del 4 de julio de Dan Crenshaw es un poco falso

Ese anuncio viral de la fiesta del 4 de julio de Dan Crenshaw es un poco falso

¿Ha visto esa captura de pantalla de un anuncio del representante de Texas Dan Crenshaw? El congresista republicano está organizando una fiesta para el Día de la Independencia y una imagen del anuncio ha estado circulando en sitios de redes sociales como Twitter.

Related posts

Lexus y Toyota quieren que sepa que ya no necesita Apple ni Google

Lexus y Toyota quieren que sepa que ya no necesita Apple ni Google

Hay un nuevo Lexus NX a la vuelta de la esquina que luce un leve rediseño, pero la gran noticia gira en torno al nuevo sistema de información y entretenimiento en el interior. Este nuevo sistema se llama Lexus Interface, para bien o para mal, y es un tiro al arco en la batalla por sus necesidades de información y entretenimiento en el automóvil.

Este malware sorprendentemente invasivo robó datos de 3,25 millones de computadoras con Windows

Este malware sorprendentemente invasivo robó datos de 3,25 millones de computadoras con Windows

Entre 2018 y 2020, una cepa misteriosa de malware infectó y robó datos confidenciales de aproximadamente 3,25 millones de computadoras con Windows, llevándose consigo una cantidad espantosa de información íntima sobre los usuarios de esos dispositivos.

Estos enlaces de Google pueden evitar que los resultados de búsqueda arruinen su vida

Estos enlaces de Google pueden evitar que los resultados de búsqueda arruinen su vida

Google tiene una página de soporte con enlaces para enviar una copia de seguridad si eres víctima de pornografía vengativa, doxxing o difamación en línea. Google está cambiando su algoritmo de búsqueda para ayudar a las víctimas de la pornografía vengativa y la difamación en línea.

Enfermedades anteriormente comunes se están recuperando después de una pausa de Covid

Enfermedades anteriormente comunes se están recuperando después de una pausa de Covid

Una imagen de microscopio electrónico de transmisión (TEM) coloreada digitalmente de partículas individuales de norovirus con covid-19 menguando en los EE. UU.

MORE COOL STUFF

Por qué Al Pacino reescribió la escena climática de la sala de justicia en 'Y justicia para todos'

Por qué Al Pacino reescribió la escena climática de la sala de justicia en 'Y justicia para todos'

Al Pacino sorprendió a Norman Jewison al decir que había reescrito el clímax de 'Y justicia para todos'. Pero Pacino tenía sus razones.

Reorganización del elenco de 'RHOC': Kelly Dodd fuera, Heather Dubrow regresa para la temporada 16

Reorganización del elenco de 'RHOC': Kelly Dodd fuera, Heather Dubrow regresa para la temporada 16

Kelly Dodd ha sido eliminada de la temporada 16 de 'RHOC' y no regresará ya que Heather Dubrow regresa por su naranja.

Kevin Hart suena mal en la cultura de la cancelación: 'La última vez que verifiqué, la única forma en que creces es jodiendo'

Kevin Hart suena mal en la cultura de la cancelación: 'La última vez que verifiqué, la única forma en que creces es jodiendo'

Kevin Hart se pronunció recientemente en contra de la cultura de la cancelación y señaló que las figuras públicas son las únicas que se espera que sean perfectas.

Cuando los escritores de 'Los Soprano' recurrieron a 'North by Northwest' de Hitchcock en busca de inspiración

Cuando los escritores de 'Los Soprano' recurrieron a 'North by Northwest' de Hitchcock en busca de inspiración

Al final de los 'Soprano', los escritores buscaron un efecto Alfred Hitchcock al crear una identidad alternativa para Tony Soprano.

¿Quieres una Cuppa Joe perfecta? Tuesta tus propios granos de café

¿Quieres una Cuppa Joe perfecta? Tuesta tus propios granos de café

¿Has estado buscando por todo el mundo esa taza de café perfecta? Tal vez aprender el arte y la ciencia de tostar sus propios granos de café sea el camino a seguir.

Fannie Lou Hamer: de aparcero a icono de derechos civiles y de voto

Fannie Lou Hamer: de aparcero a icono de derechos civiles y de voto

Nacida en una familia de aparceros pobres en Mississippi, Fannie Lou Hamer se convirtió en secretaria de campo del Comité Coordinador Estudiantil No Violento (SNCC) y en una luchadora infatigable por los derechos civiles y de voto.

Una tormenta perfecta de catástrofes mundiales está provocando la escasez global de semiconductores

Una tormenta perfecta de catástrofes mundiales está provocando la escasez global de semiconductores

La civilización moderna depende cada vez más de los semiconductores, pero la cadena de suministro se ha visto interrumpida por la pandemia de COVID-19, las sequías y otros problemas justo cuando la demanda está aumentando.

A las 8'11, "Robert Wadlow era el hombre más alto del mundo

A las 8'11, "Robert Wadlow era el hombre más alto del mundo

Y todavía estaba creciendo en el momento de su muerte. Pero había mucho más en Robert Wadlow que solo su extraordinaria altura.

Hombre de Texas arrestado después de presuntamente arrastrar al ex de su mamá detrás de un camión y prenderle fuego al vehículo

Hombre de Texas arrestado después de presuntamente arrastrar al ex de su mamá detrás de un camión y prenderle fuego al vehículo

Robert Eugene Hoffpauir, de 37 años, ha sido arrestado y acusado del asesinato de Roman Rodríguez, de 60 años, según la Oficina del Sheriff del condado de Liberty.

Leona Lewis dice que fue 'profundamente herida' por Michael Costello después de que él acusara a Chrissy Teigen de intimidación

Leona Lewis dice que fue 'profundamente herida' por Michael Costello después de que él acusara a Chrissy Teigen de intimidación

"Cuando la gente se disculpa (Chrissy) y muestra un sincero remordimiento y rehabilitación por sus acciones, debemos abrazarlos y no intentar patearlos cuando están deprimidos", escribió Leona Lewis en Instagram.

Kelsey Grammer llora cuando recuerda haber conocido a Paris Jackson cuando era niña con su papá Michael Jackson

Kelsey Grammer llora cuando recuerda haber conocido a Paris Jackson cuando era niña con su papá Michael Jackson

Kelsey Grammer conoció a su coprotagonista de The Space Between, Paris Jackson, por primera vez cuando era más joven y fue testigo de un momento adorable entre ella y su papá Michael Jackson.

El director de Jackass 4, Jeff Tremaine, obtiene una orden de restricción de 3 años contra Bam Margera

El director de Jackass 4, Jeff Tremaine, obtiene una orden de restricción de 3 años contra Bam Margera

Jeff Tremaine, de 54 años, solicitó la orden de restricción contra Bam Margera, de 41 años, después de que la ex estrella de televisión supuestamente le envió a él y a su familia amenazas de muerte.

¿Eres Judgy?

La ciencia dice que todos lo somos, y eso no es necesariamente malo.

¿Eres Judgy?

Sabes cuando conoces a alguien y no puedes evitar tomar notas mentales. O alguien te sorprende mirándolo mal cuando está haciendo algo cuestionable.

Cristóbal Colón no puede distinguir un manatí de una sirena

Cristóbal Colón no puede distinguir un manatí de una sirena

Mientras navegaba por las aguas alrededor de Haití el 9 de enero de 1493, el famoso explorador Cristóbal Colón vio lo que pensó que eran tres sirenas retozando en el agua. Más tarde informó que “salieron bastante alto del agua”, pero que “no eran tan bonitos como se los representa, porque de alguna manera en la cara parecen hombres.

Una vista del campo después de 50 clientes

Hay mucho que hacer, pero se puede hacer

Una vista del campo después de 50 clientes

Cuando salió el anuncio en 2019 de que decidí pasar de la Sinfónica de California para tener un impacto más amplio más allá de una organización antes de dirigir otra institución de música clásica, las compuertas se abrieron de la mejor manera. Unos meses después, todo nuestro trabajo cambió más de lo que creíamos posible, ya que el coronavirus detuvo abruptamente el negocio tal como lo conocíamos, abriendo nuevas preguntas y desafíos para nuestras organizaciones y nuestro campo.

¿Qué secretos acechan detrás de la superficie de las pinturas antiguas?

La tecnología moderna y el ingenio a la antigua revelan algunos hallazgos sorprendentes

¿Qué secretos acechan detrás de la superficie de las pinturas antiguas?

Vincent Van Gogh lo hizo y Pablo Piccaso también. Los artistas pintaban sobre lienzos por muchas razones.

Language