A Apple já foi muito criticada por não pagar muito bem a ajuda de profissionais de segurança quando encontram alguma falha em seus sistemas.
Mas aparentemente a empresa quer mudar essa imagem ruim. Essa semana, a Apple premiou um pesquisador de segurança por ter descoberto uma falha grave na função “Iniciar sessão com a Apple”.
Esta funcionalidade foi introduzida no iOS 13 e permite se conectar em sites e aplicativos, sem precisar fornecer um e-mail pessoal. É similar ao que já permitem Google e Facebook, com a diferença que, segundo a Apple, nenhum dado pessoal é repassado.
Mas, como no mundo digital nada é impenetrável e infalível, um pesquisador indiano chamado Bhavuk Jain descobriu uma falha nesta função que permitiria uma terceira pessoa mal intencionada roubar a conta do usuário em sites e aplicativos que usam esta autenticação.
A vulnerabilidade estava relacionada com como a Apple validava os usuários no lado do cliente antes de iniciar uma solicitação dos serviços de autenticação. O processo de Iniciar sessão com a Apple faz o servidor gerar um token web JSON (JWT), que o aplicativo ou site usa para confirmar a idoneidade do usuário.
Bhavuk descobriu que era possível criar um JWT falso usando o endereço e-mail do ID Apple de alguém e assim se conectar nos sites e apps que já tinham iniciado sessão com a função antes.
O pesquisador avisou a Apple da falha em abril, e ela já foi consertada desde então.
Apesar de ser possível se conectar no site do ID Apple usando a funcionalidade, a empresa garante que a falha não permitia acessar a conta do iCloud, além de dizer que não constatou nenhum uso indevido dessa falha desde que a função foi lançada.
Recentemente a Apple lançou um programa de “bug bounty” para premiar falhas descobertas em seus sistemas. Com isso, Bhavuk ganhou a quantia de US$100 mil por ter comunicado a descoberta antes de algum usuário pudesse ser atingido.
Bora faturar uma graninha procurando falha no iOS? 😂
