Bug bij Sign in with Apple
De man kreeg $100.000 voor zijn ontdekking via Apple’s Security Bounty Program. Apple heeft de bug aan serverzijde opgelost; je hoeft dus geen beveiligingsupdates te installeren.
De bug deed zich specifiek voor bij apps van derden, die gebruik maakten van Sign in with Apple en geen extra beveiligingsmaatregelen hadden genomen.
Sign in with Apple (‘Log in met Apple’) maakt voor de authenticatie gebruik van een JWT (JSON Web Token), of een code die wordt gegenereerd door een Apple-server. Apple geeft gebruikers vervolgens de mogelijkheid om het e-mailadres van hun Apple ID te delen, of een willekeurig uitziend e-mailadres waarop je wel bereikbaar bent. Daarbij wordt gebruik gemaakt van een JWT.
Jain ontdekte dat op deze manier toegang tot een account mogelijk was. In een interview met Hacker News legt hij uit hoe gevaarlijk dit is: een kwaadwillende zou het complete account kunnen overnemen.
Verplicht voor ontwikkelaars
Het vervelende is dat Apple de functie nogal opdringt: ontwikkelaars zijn verplicht om Sign in with Apple te ondersteunen, als ze ook andere sociale logins via Facebook en dergelijke aanbieden.
Apps die er gebruik van maken zijn Dropbox, Spotify, Airbnb en Giphy. Dat wil overigens niet zeggen dat deze accounts nu in gevaar zijn.
Sign in with Apple: alles over het veilig aanmelden via Apple
- 2020 - 31 mei: Verduidelijkt dat je geen beveiligingsupdates hoeft te installeren, Apple heeft dit aan serverzijde opgelost.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Ruzie tussen Spotify en Apple gaat door: app-update wordt maar niet goedgekeurd (en dit is waarom) (25-04)
- Apple brengt OpenELM uit: open source AI-modellen die lokaal te gebruiken zijn (24-04)
- Viaplay werkt aan goedkoper abonnement met advertenties (23-04)
- Prijsverhoging SkyShowtime gaat 23 april in: zo kun je het omzeilen (22-04)
- Weekend kijktips: Jane, Máxima, Dune Part Two en meer (20-04)
Reacties: 4 reacties