Accueil Technologie Apple Apple paie 100 000 dollars à un hacker pour avoir découvert une...

Apple paie 100 000 dollars à un hacker pour avoir découvert une faille de sécurité majeure

En 2019, Apple a annoncé une option de connexion avec Apple pour les utilisateurs qui préféraient ne pas partager leurs adresses e-mail personnelles avec les applications et services tiers qu’ils utilisent sur leurs appareils. Cette fonction, annoncée au WWDC comme un moyen de protéger la vie privée des utilisateurs, a depuis été compromise.

Selon un rapport d’iMore, le chercheur en sécurité Bhavuk Jain a récemment découvert une faille critique dans la fonction sur les appareils iOS. Si elle était exploitée, cette faille permettrait des attaques à distance de la part de toute personne cherchant à s’emparer de comptes d’applications tierces, y compris Spotify, Dropbox et Giphy, de la part de victimes peu méfiantes. Après avoir découvert la vulnérabilité, M. Jain l’a signalée à Apple par l’intermédiaire du programme de prime aux bugs de la société, et il a reçu 100 000 dollars pour sa découverte.

A lire  Les équipes Éducation d'Apple apportent leur aide pour l'apprentissage à distance
A lire  Apple rejette l'application Facebook Gaming sur l'App Store, pour la cinquième fois

Jain a également présenté ses découvertes dans un article de blog sur son site web.

“J’ai trouvé un “zero-day” dans Sign in with Apple qui affectait les applications tierces qui l’utilisaient et ne mettaient pas en œuvre leurs propres mesures de sécurité supplémentaires”, a-t-il écrit.

“Ce bogue aurait pu entraîner une prise de contrôle totale des comptes utilisateurs de cette application tierce, que la victime ait ou non un identifiant Apple valide”.

“J’ai découvert que je pouvais demander à JWT n’importe quel identifiant d’Apple et lorsque la signature de ces jetons a été vérifiée à l’aide de la clé publique d’Apple, elle s’est révélée valide. Cela signifie qu’un attaquant pourrait falsifier un JWT en y liant n’importe quelle adresse e-mail et en accédant au compte de la victime”.

A lire  Apple roi incontesté des objets connectés portables

Depuis, Apple a corrigé la faille et a assuré aux utilisateurs qu’il n’y avait pas eu d’abus ou de prise de contrôle de compte antérieurs causés par le bogue.

les + lus

Le prix des Xbox Series X ne sera pas dévoilé lors du showcase du 23 juillet

Hier, Microsoft a confirmé que la première présentation de ses studios pour la XSX se tiendrait le 23 juillet. Alors que l'apparition...

Facebook, Google et Twitter suspendent l’examen des demandes de données de Hong Kong, TikTok se retire

Facebook Inc, Google Inc et Twitter Inc ont suspendu le traitement des demandes gouvernementales de données d'utilisateurs à Hong Kong, ont-ils déclaré...

Lionel Messi suivi par Manchester United et le Paris Saint-Germain

Suite à des informations sur le projet de Lionel Messi de quitter Barcelone en 2021, des clubs géants hors d'Espagne se sont...

Remaniement du gouvernement : Les ministres de la défense, des finances et des affaires étrangères conservent leur poste

Bruno Le Maire, ministre de l'économie et des finances, a également réussi à conserver son poste dans le nouveau gouvernement, Olivier Veran...

Nous utilisons des cookies pour vous offrir la meilleure expérience en ligne. En acceptant, vous acceptez l'utilisation de cookies conformément à notre politique de confidentialité des cookies.

Privacy Settings saved!
Paramètres de confidentialité

Lorsque vous visitez un site Web, il peut stocker ou récupérer des informations sur votre navigateur, principalement sous la forme de cookies. Contrôlez vos services de cookies personnels ici.

Veuillez noter que les cookies essentiels sont indispensables au fonctionnement du site, et qu’ils ne peuvent pas être désactivés.

Pour utiliser ce site Web, nous utilisons les cookies suivant qui sont techniquement nécessaires
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Pour des raisons de performance, nous utilisons Cloudflare en tant que réseau CDN. Cela enregistre un cookie "__cfduid" pour appliquer les paramètres de sécurité par client. Ce cookie est strictement nécessaire pour les fonctionnalités de sécurité de Cloudflare et ne peut pas être désactivé.
  • __cfduid

Refuser tous les services
Accepter tous les services
error: