Dévoilée lors de la présentation d’iOS 13, la fonction Connexion avec Apple permet aux utilisateurs de créer un compte et de s’identifier sur n’importe quel service de manière sécurisée en utilisant leur identifiant Apple sans avoir à fournir d’adresse e-mail, ni de mot de passe.
Malheureusement, courant avril, Bhavuk Jain, un chercheur en sécurité a découvert une faille zero-day dans ce service.
Un bug présent sur les applications mal sécurisées
La brèche touchait principalement les applications tierces n’ayant pas intégré leurs propres mesures de sécurité additionnelle en utilisant la solution d’Apple.
Pour faire simple, Connexion avec Apple génère à la connexion un jeton d’identification rattaché à l’identifiant Apple utilisé. Ce jeton est ensuite envoyé sur les serveurs d’Apple et validé pour autoriser la connexion au service. Et c’est au cours de ce processus qu’un attaquant aurait pu profiter de la faille pour générer son propre jeton d’authentification avec n’importe quel identifiant Apple et le faire valider par les serveurs de Cupertino.
Si elle avait été exploitée, cette faille aurait permis à un attaquant de prendre le contrôle de n’importe quel compte Apple.
Découverte en avril, la faille a été depuis corrigée par Apple, qui a récompensé le chercheur de la coquette somme de 100 000 dollars pour sa découverte, dans le cadre de son programme Bug Bounty.
Sources : Engadget, Bahvuk Jain
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
