Aj napriek tomu, že sa Apple snažilo zvýšiť bezpečnosť a komfort používateľov prostredníctvom služby „Sign in with Apple“, evidentne tu nebolo všetko úplne dokonalé. Výskumník Bhavuk Jain objavil kritickú chybu zabezpečenia. Od Apple obdržal odmenu 100 000$.
V „Sign in with Apple“ sa objavila vážna chyba.
Najnovšia chyba pojednávala o šanci prevziať niektoré používateľské účty nežiadúcimi osobami. Týkala sa predovšetkým aplikácii tretích strán, ktoré „Sign in witch Apple“ používali a nerobili žiadne iné bezpečnostné opatrenia.
Pri tejto službe sa používateľ prihlasuje prostredníctvom JWT (JSON Web Token) alebo exkluzívneho kódu, ktorý vygeneruje spoločnosť Apple na svojich serveroch. Následne môžete po prihlásení zdieľať buď svoj vlastný e-mail (ktorý je súčasťou Apple ID) alebo si nechať vymyslieť inú e-mailovú adresu, o ktorú sa postará JWT.
Výskumníkovi sa podarilo odhaliť nedostatok, ktorý teoreticky mohol ohrozovať niektorých používateľov. Akonáhle boli vyžiadané náhodné e-mailové adresy cez JWT a podpis tokenu prešiel overením prostredníctvom verejného kľúču spoločnosti Apple, mohli byť zneužité k získaniu rôznych údajov.
Samotná chyba bola podľa výskumníka doslova kritická. Niekto na druhej strane vedel získať plný prístup k vašemu účtu. Veľa vývojárov používa „Sign in with Apple“, nakoľko je to povinné v prípade, že máte aplikáciu ktorá podporuje prihlásenie cez Facebook, Google a podobne.
Apple samozrejme zahájilo interné vyšetrovanie, aby preverilo dopady chyby. Podľa zistení nebol našťastie ohrozený žiaden používateľ. Na záver by sme mohli dodať, že Bhavuk Jain obdržal za túto informáciu od Apple až 100 000$. Niekedy sa hold oplatí robiť aj výskumníka v oblasti zabezpečenia…