La faille est exposée par The Hacker News et déjà corrigée. Elle a été trouvée par le chercheur Bhavuk Jain. Ses détails ont été fournis en silence à Apple, qui a confirmé le problème.

La vulnérabilité se trouvait dans une partie du mécanisme d’authentification de Sign in with Apple, qui permet pour rappel, depuis son compte Apple, de générer des adresses aléatoires dans l’idée de protéger la vie privée de l’utilisateur. L’authentification peut alors être protégée par Face ID ou Touch ID.

Problème, le JSON Web Token utilisé par l’application pour authentifier l’utilisateur peut être spécialement conçu, donc truqué, autorisant alors le pirate potentiel à se faire passer pour sa victime. Dès lors, rien ne l’aurait empêché de se connecter aux applications prenant en charge Sign in with Apple, mais pas au compte Apple lui-même.

Bhavuk Jain a remporté 100 000 dollars pour la découverte de cette faille. D’après Apple, la faille n’aurait pas été exploitée, aucune trace suspecte n’apparaissant dans ses logs.