I sistemi Apple sono notori per la loro tendenza a “sviluppare” ogni sorta di bug e falla di sicurezza, e il problema non riguarda solo l’immancabile iOS. L’ultima vulnerabilità (in ordine di tempo) è venuta alla luce in Accedi con Apple, sistema di autenticazione che presta(va) in fianco a un baco 0-day potenzialmente molto pericoloso. Bug che è stato ora corretto, e che ha fruttato un bel gruzzolo in dollari al suo scopritore.
Come i sistemi di autenticazione “universali” della concorrenza (Google, Facebook ecc.), Accedi con Apple permette di utilizzare l’ID Apple già in possesso dell’utente per accedere ad applicazioni e servizi di terze parti senza svelare a questi ultimi l’e-mail originaria. Come scoperto da Bhavuk Jain, però, Accedi con Apple può essere violato compromettendo la sicurezza e i dati degli utenti.
L’origine della falla 0-day identificata da Jain si trova nel meccanismo di creazione del JSON Web Token (JWT), un token di autenticazione che, a discrezione dell’utente, può svelare l’e-mail originaria oppure camuffarla con un nuovo indirizzo “fittizio” controllato da Apple. Il problema è che i server di autenticazione di Cupertino rispondono a qualsiasi richiesta JWT – anche quelle riguardanti e-mail potenzialmente controllate da soggetti con intenzioni malevole.
Una richiesta JWT fasulla può garantire l’accesso all’account terzo dell’utente, con implicazioni ben comprensibili sulla sicurezza dei dati ivi contenuti. Jain aveva comunicato l’esistenza del bug 0-day a Apple già in aprile, e dopo le dovute indagini la corporation ha corretto il baco e compensato lo sviluppatore con $100.000 di taglia secondo il programma Apple Security Bounty.