$ 100 000. Detta är belöningen som Colossus of Cupertino gav till Bhavuk Jain, en ung indisk utvecklare som upptäckte en stor sårbarhet i sistema autentisering “Logga in med Apple”. Ett fel på noll dagar som fanns sedan den första dagen för implementeringen av tjänsten och som – enligt det kaliforniska företaget – aldrig skulle ha utnyttjats.
Logga in med Apple det var en av de stora nyheterna som tillkännagavs under WWDC 2019. Det är ett åtkomstalternativ tillgängligt på appar och tjänster utvecklade av tredje parter som står som ett alternativ till den redan kända åtkomst via konto Facebook eller Google. Till skillnad från det senare, men lösningen av Apple utnyttjar Face ID och ger användaren möjlighet att generera en slumpmässig e-postadress som ska användas för att komma åt enskilda webbplatser. Allt detta tillåter inte att spåra användarens identitet.
På sin blogg förklarar Jain hur det var möjligt att lura sistema är anpassa en främlings identitet helt enkelt genom att känna till offrets e-postadress. På användarens begäran servern Apple använd en JSON Web Token (JWT) för autentisering eller skapa en specifik kod som används för att generera en JWT. Under godkännandet kan användaren bestämma sig för att dela e-postadressen (personlig eller fiktiv) med tjänster från tredje part eller inte. Efter godkännande, Apple skapar en JWT som innehåller e-postadressen, som används av tredje parts app för att komma åt användaren.
I april fann utvecklaren att det – efter en första begäran med giltigt e-postmeddelande – var möjligt begär en JWT genom att ange andras iCloud-e-postadress. Genom att göra det, godkändes fortfarande av Apple. På så sätt kunde en angripare ha haft tillgång till offrets konto. Felet skulle dock ha kunnat utnyttjas på de applikationer och tjänster som inte använder andra verifieringsmetoder, till exempel tvåfaktorautentisering.
Hur som helst, som sagt i början, Apple han gjorde sina egna undersökningar som bekräftade att sårbarheten inte har utnyttjats och att inget konto har hackats. Det hela slutade därför med en belöning på $ 100 000 för Bhavuk Jain enligt Bug Bounty-programmet.
