Bug bij Sign in with Apple
De man kreeg $100.000 voor zijn ontdekking via Apple’s Security Bounty Program. Apple heeft de bug aan serverzijde opgelost; je hoeft dus geen beveiligingsupdates te installeren.
De bug deed zich specifiek voor bij apps van derden, die gebruik maakten van Sign in with Apple en geen extra beveiligingsmaatregelen hadden genomen.
Sign in with Apple (‘Log in met Apple’) maakt voor de authenticatie gebruik van een JWT (JSON Web Token), of een code die wordt gegenereerd door een Apple-server. Apple geeft gebruikers vervolgens de mogelijkheid om het e-mailadres van hun Apple ID te delen, of een willekeurig uitziend e-mailadres waarop je wel bereikbaar bent. Daarbij wordt gebruik gemaakt van een JWT.
Jain ontdekte dat op deze manier toegang tot een account mogelijk was. In een interview met Hacker News legt hij uit hoe gevaarlijk dit is: een kwaadwillende zou het complete account kunnen overnemen.
Verplicht voor ontwikkelaars
Het vervelende is dat Apple de functie nogal opdringt: ontwikkelaars zijn verplicht om Sign in with Apple te ondersteunen, als ze ook andere sociale logins via Facebook en dergelijke aanbieden.
Apps die er gebruik van maken zijn Dropbox, Spotify, Airbnb en Giphy. Dat wil overigens niet zeggen dat deze accounts nu in gevaar zijn.
- 2020 - 31 mei: Verduidelijkt dat je geen beveiligingsupdates hoeft te installeren, Apple heeft dit aan serverzijde opgelost.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Shazam heeft nu 100 miljard keer muzieknummers herkend: hoeveel Shazams heb jij? (20-11)
- Weekend kijktips: Silo, Mike Tyson, Zondebokken en meer (16-11)
- EU wil verbod op regiogebonden App Store en meer: alles voor iedereen in Europa gelijk (12-11)
- Apple Music Classical nu eindelijk via CarPlay te beluisteren (12-11)
- Apple werkt samen met luchtvaartmaatschappijen voor nieuwe Zoek mijn-functie (11-11)
Reacties: 4 reacties