Dans le cadre du programme Apple Security Bounty, un chercheur en sécurité indien Bhavuk Jain a été récompensé de la somme de 100 000 dollars par le groupe de Cupertino. Il explique avoir découvert en avril une vulnérabilité dans Sign in with Apple et à l'impact " assez critique ", dans la mesure où son exploitation aurait pu permettre une prise de contrôle totale des comptes d'utilisateur sur une application tierce.
Comme il est question d'un programme de bug bounty, la vulnérabilité de sécurité a été dûment rapportée et corrigée par Apple. Avant sa correction, il n'y aurait a priori pas eu de compromission à déplorer, selon l'inspection des logs par Apple.
Sur Twitter, le chercheur en sécurité Patrick Wardle s'est fait l'écho de la faille, n'hésitant pas à déclarer que la solution d'identification Sign in with Apple (Connexion avec Apple) était " complètement foutue. " Elle a été introduite lors de l'édition 2019 de la WWDC.
Ouch, "Sign in with Apple" was totally busted ? ?
— patrick wardle (@patrickwardle) May 30, 2020
Neat bug from @bhavukjain1: https://t.co/XCpGNWDoyc pic.twitter.com/As5Dzo1QVk
Le problème se situait au niveau de la procédure d'authentification avec le recours au jeton JSON Web Token (JWT) et la possibilité pour un attaquant de se connecter à des applications et services tiers s'appuyant sur Sign in with Apple avec n'importe quel identifiant d'email d'Apple.
" J'ai découvert que je pouvais demander des jetons JWT pour n'importe quel identifiant d'email d'Apple et lorsque la signature de ces jetons était vérifiée en utilisant la clé publique d'Apple, ils se sont révélés valides. Cela signifie qu'un attaquant pouvait falsifier un JWT en y associant n'importe quel identifiant d'email et en accédant au compte de la victime ", écrit Bhavuk Jain.
Le sujet n'est pas ici la compromission d'un compte Apple, mais nombre de développeurs ont intégré la Connexion avec Apple eu égard à son caractère d'option obligatoire avec des applications qui prennent en charge des solutions de connexion tierces.
Sign in with Apple est vanté par Apple comme une solution pour garantir la confidentialité des données personnelles. Un identifiant unique et aléatoire est transmis aux applications et sites pour une connexion. Les utilisateurs ont le choix de transmettre une adresse email unique et aléatoire - désactivable à tout moment - pour cacher leur adresse email réelle. Apple se charge de la gestion et de la correspondance et s'engage contre toute forme de pistage.