Специалистом по кибербезопасности стороннего сайта была обнаружена критическая уязвимость, позволяющая через систему авторизации Apple получить доступ к пользовательским аккаунтам на сторонних сервисах. Как обнаружил на своем сайте Бавук Джайн, опция «Войти через Apple» давала возможность злоумышленникам, иметь доступ к аккаунту любого пользователя, входившего через нее в свою учетную запись.
В своем подробном пояснении Джайн отметил, что система Apple ID не проводила проверку при очередном вводе данных, запрашивается ли ключ JSON Web Token (JWT) тем же пользователем или сторонним человеком. Отсутствие проверки, позволяло на серверах Apple генерировать корректные токены, которые поступали бы на аккаунты жертв. Этот баг вполне мог использовать любой злоумышленник для доступа к аккаунту, если его пользователь входил через Apple.
Реакция Apple на уязвимость
После сообщения о баге, Apple быстро устранила уязвимость и заплатила Джайну максимальную сумму вознаграждения в размере $100 000, в соответствии с существующей программой поощрений компании.
Специалисты Apple отметили, что, тщательно проверив серверы, они не обнаружили случаев использования уязвимости для незаконного проникновения в аккаунты пользователей до ее устранения.
Функция «Войти через Apple» была представлена на конференции WWDC 2019 и при ее презентации главный акцент делался на безопасности работы системы авторизации на сторонних сервисах. Многие сервисы, такие как Adobe, Spotify, Airbnb, Dropbox, поспешили добавить ее для авторизации своих пользователей. Как оказалось, даже новые системы биометрической идентификации Face ID и Touch ID, не дают гарантии абсолютной защищенности пользователей.