Il pulsante “Accedi con Apple” è uno dei tanti servizi (come quelli offerti da Google, Facebook, Microsoft e così via) che consente di effettuare il login su siti gestiti da terzi senza inserire alcun nome utente e password. Alla base del funzionamento di questi pulsanti c’è il protocollo aperto OAuth che consente di effettuare comodamente il login sul sito del gestore delle credenziali (in questo caso Apple) e far sì che la terza parte riceva conferma dell’avvenuta autenticazione (token autorizzativo) insieme con i dati richiesti (ed esplicitamente indicati all’utente prima del login).
Ad aprile scorso, però, il ricercatore Bhavuk Jain ha scoperto che il pulsante “Accedi con Apple” – lanciato l’anno scorso e presentato in questa pagina – permetteva di acquisire qualunque altrui identità.
Nella sua analisi Jain spiega di essere riuscito a inviare la richiesta di un token ai server Apple e una volta verificata la firma del token questa è sempre apparsa come valida. Forzando l’autenticazione con il pulsante “Accedi con Apple” un malintenzionato sarebbe stato anche in grado di accedere al contenuto dell’account della vittima.
Dal momento che il grave problema di sicurezza è stato segnalato privatamente, Apple ha riconosciuto – nell’ambito del suo programma bug bounty – un premio di 100.000 dollari al ricercatore.
Stando alle informazioni che sono state condivise, sembra che nonostante la gravità del problema e la portata della vulnerabilità, nessuno l’abbia precedentemente sfruttata.