O pesquisador de segurança Bhavuk Jain descobriu um bug “zero day” (ou seja, explorável sem que haja uma correção disponível) que permitia que hackers tomassem o controle de contas em serviços que usam o sistema de login da Apple.

O Sign in With Apple (Login com o Apple ID, em português) permite que usuários usem seu Apple ID para fazer login em sites e apps, evitando ter de criar uma conta para cada novo serviço. É similar às opções de login com o Facebook ou Google encontradas em muitos lugares, mas segundo a Apple foi projetado de forma a garantir a privacidade do usuário, evitando o compartilhamento de dados com os operadores dos sites ou desenvolvedores dos apps.

Segundo Jain, o bug era consequência da forma como o sistema da Apple produzia os tokens, identificadores que informam a um app ou site se a tentativa de login é válida, ou não. Ele descobriu uma forma de manipular a comunicação com os servidores da Apple e gerar um token válido para qualquer Apple ID, mesmo sem saber a senha.

Se o app confiasse apenas na resposta dos servidores da Apple, sem nenhuma outra forma de validação da tentativa de login, um malfeitor poderia conseguir acesso à conta e controle total sobre ela. A falha foi considerada crítica, já que poderia afetar qualquer app ou serviço que usa o sistema de login da Apple, como o Dropbox, Spotify, Airbnb, Giphy e muitos outros.

Pela descoberta, Jain recebeu uma recompensa de US$ 100 mil pelo Apple Security Bounty Program, que incentiva pesquisadores a encontrar e relatar à empresa falhas de segurança em seus produtos.

A falha já foi corrigida pela Apple.

Fonte: Bhavuk Jain