Accueil Technologie Apple Apple paie 100 000 dollars à un hacker pour avoir découvert une...

Apple paie 100 000 dollars à un hacker pour avoir découvert une faille de sécurité majeure

En 2019, Apple a annoncé une option de connexion avec Apple pour les utilisateurs qui préféraient ne pas partager leurs adresses e-mail personnelles avec les applications et services tiers qu’ils utilisent sur leurs appareils. Cette fonction, annoncée au WWDC comme un moyen de protéger la vie privée des utilisateurs, a depuis été compromise.

Selon un rapport d’iMore, le chercheur en sécurité Bhavuk Jain a récemment découvert une faille critique dans la fonction sur les appareils iOS. Si elle était exploitée, cette faille permettrait des attaques à distance de la part de toute personne cherchant à s’emparer de comptes d’applications tierces, y compris Spotify, Dropbox et Giphy, de la part de victimes peu méfiantes. Après avoir découvert la vulnérabilité, M. Jain l’a signalée à Apple par l’intermédiaire du programme de prime aux bugs de la société, et il a reçu 100 000 dollars pour sa découverte.

A lire  Apple roi incontesté des objets connectés portables
A lire  Apple rejette l'application Facebook Gaming sur l'App Store, pour la cinquième fois

Jain a également présenté ses découvertes dans un article de blog sur son site web.

“J’ai trouvé un “zero-day” dans Sign in with Apple qui affectait les applications tierces qui l’utilisaient et ne mettaient pas en œuvre leurs propres mesures de sécurité supplémentaires”, a-t-il écrit.

“Ce bogue aurait pu entraîner une prise de contrôle totale des comptes utilisateurs de cette application tierce, que la victime ait ou non un identifiant Apple valide”.

“J’ai découvert que je pouvais demander à JWT n’importe quel identifiant d’Apple et lorsque la signature de ces jetons a été vérifiée à l’aide de la clé publique d’Apple, elle s’est révélée valide. Cela signifie qu’un attaquant pourrait falsifier un JWT en y liant n’importe quelle adresse e-mail et en accédant au compte de la victime”.

A lire  Apple et DuckDuckGo, une alliance faite dans le paradis de la vie privée

Depuis, Apple a corrigé la faille et a assuré aux utilisateurs qu’il n’y avait pas eu d’abus ou de prise de contrôle de compte antérieurs causés par le bogue.

A lire  Apple et DuckDuckGo, une alliance faite dans le paradis de la vie privée

les + lus

Microsoft n’imposera pas d’exclusivités à Bethesda

Comme on vous l'expliquait, il semblerait que Bethesda reste libre de ses choix après le rachat par Microsoft. Weaver,...

Amazon veut que vous payiez d’un geste de la main

Pour faciliter les paiements, Amazon met en place un paiement grâce à la paume de votre main, Amazon One.

Nvidia met à jour ses pilotes vers la version 456.55

NVIDIA propose désormais la nouvelle version 456.55 des pilotes de ses cartes graphiques sur Windows. Ces derniers...

Jouez à vos jeux Xbox One sur téléphone, gratuitement

Microsoft a annoncé que sa toute nouvelle application Xbox sur Android vous permettra de diffuser gratuitement sur votre smartphone l'intégralité de...

Nous utilisons des cookies pour vous offrir la meilleure expérience en ligne. En acceptant, vous acceptez l'utilisation de cookies conformément à notre politique de confidentialité des cookies.

Privacy Settings saved!
Paramètres de confidentialité

Lorsque vous visitez un site Web, il peut stocker ou récupérer des informations sur votre navigateur, principalement sous la forme de cookies. Contrôlez vos services de cookies personnels ici.

Veuillez noter que les cookies essentiels sont indispensables au fonctionnement du site, et qu’ils ne peuvent pas être désactivés.

Pour utiliser ce site Web, nous utilisons les cookies suivant qui sont techniquement nécessaires
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Pour des raisons de performance, nous utilisons Cloudflare en tant que réseau CDN. Cela enregistre un cookie "__cfduid" pour appliquer les paramètres de sécurité par client. Ce cookie est strictement nécessaire pour les fonctionnalités de sécurité de Cloudflare et ne peut pas être désactivé.
  • __cfduid

Refuser tous les services
Accepter tous les services
error: