Sign in with Apple : une faille permettait d’accéder à des services tiers
Le 01 juin 2020 à 09h24
1 min
Société numérique
Next
La faille est exposée par The Hacker News et déjà corrigée. Elle a été trouvée par le chercheur Bhavuk Jain. Ses détails ont été fournis en silence à Apple, qui a confirmé le problème.
La vulnérabilité se trouvait dans une partie du mécanisme d’authentification de Sign in with Apple, qui permet pour rappel, depuis son compte Apple, de générer des adresses aléatoires dans l’idée de protéger la vie privée de l’utilisateur. L’authentification peut alors être protégée par Face ID ou Touch ID.
Problème, le JSON Web Token utilisé par l’application pour authentifier l’utilisateur peut être spécialement conçu, donc truqué, autorisant alors le pirate potentiel à se faire passer pour sa victime. Dès lors, rien ne l’aurait empêché de se connecter aux applications prenant en charge Sign in with Apple, mais pas au compte Apple lui-même.
Bhavuk Jain a remporté 100 000 dollars pour la découverte de cette faille. D’après Apple, la faille n’aurait pas été exploitée, aucune trace suspecte n’apparaissant dans ses logs.
Le 01 juin 2020 à 09h24
Commentaires (1)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 01/06/2020 à 20h00
Bon une faille dans un SSO c’est pas nécessairement surprenant, mais pas très rassurant quand on sait qu’Apple fait le forcing pour obliger à intégrer le service dans les applications iOS.
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?