Apple paie 100 000 dollars à un hacker pour avoir découvert une faille de sécurité majeure

0
409

En 2019, Apple a annoncé une option de connexion avec Apple pour les utilisateurs qui préféraient ne pas partager leurs adresses e-mail personnelles avec les applications et services tiers qu’ils utilisent sur leurs appareils. Cette fonction, annoncée au WWDC comme un moyen de protéger la vie privée des utilisateurs, a depuis été compromise.

Selon un rapport d’iMore, le chercheur en sécurité Bhavuk Jain a récemment découvert une faille critique dans la fonction sur les appareils iOS. Si elle était exploitée, cette faille permettrait des attaques à distance de la part de toute personne cherchant à s’emparer de comptes d’applications tierces, y compris Spotify, Dropbox et Giphy, de la part de victimes peu méfiantes. Après avoir découvert la vulnérabilité, M. Jain l’a signalée à Apple par l’intermédiaire du programme de prime aux bugs de la société, et il a reçu 100 000 dollars pour sa découverte.

A lire  Apple redessine l'écran d'accueil de l'iPhone pour iOS 14

Jain a également présenté ses découvertes dans un article de blog sur son site web.

“J’ai trouvé un “zero-day” dans Sign in with Apple qui affectait les applications tierces qui l’utilisaient et ne mettaient pas en œuvre leurs propres mesures de sécurité supplémentaires”, a-t-il écrit.

“Ce bogue aurait pu entraîner une prise de contrôle totale des comptes utilisateurs de cette application tierce, que la victime ait ou non un identifiant Apple valide”.

“J’ai découvert que je pouvais demander à JWT n’importe quel identifiant d’Apple et lorsque la signature de ces jetons a été vérifiée à l’aide de la clé publique d’Apple, elle s’est révélée valide. Cela signifie qu’un attaquant pourrait falsifier un JWT en y liant n’importe quelle adresse e-mail et en accédant au compte de la victime”.

A lire  Apple roi incontesté des objets connectés portables

Depuis, Apple a corrigé la faille et a assuré aux utilisateurs qu’il n’y avait pas eu d’abus ou de prise de contrôle de compte antérieurs causés par le bogue.

Laisser un commentaire

Please enter your comment!
Please enter your name here