Falha em serviço de login da Apple rende US$ 100 mil a desenvolvedor

Por Rafael Arbulu | 02 de Junho de 2020 às 08h45
The Verge
Tudo sobre

Apple

Saiba tudo sobre Apple

Ver mais

Um desenvolvedor e pesquisador de segurança da Índia acordou com 100 mil motivos a mais para sorrir. Por ter descoberto uma falha crítica no serviço "Sign In With Apple", ele recebeu nada menos que US$ 100 mil da empresa de Cupertino.

A recompensa é parte do programa de remuneração para quem consegue levantar e comunicar problemas com os vários sistemas da Apple. No caso em mãos, o desenvolvedor Bhavuk Jain contou em seu blog que descobriu uma vulnerabilidade de “dia zero”, ou seja, uma falha existente junto ou antes do lançamento de um serviço. Basicamente, esse buraco na segurança da Apple permitia que um hacker roubasse o comando de qualquer conta pelo serviço.

Serviço "Sign In With Apple" permite a conexão a apps de terceiros usando a sua AppleID, mas recurso tinha uma falha que poderia permitir a hackers invasores tomarem total controle de sua conta (Imagem: Divulgação/Apple)

Trocando em miúdos: o bug afetava especificamente aplicativos de terceiros que fizessem uso do recurso de login, mas sem implementar medidas adicionais de proteção. Segundo Jain, o “Sign In With Apple” faz a verificação de acesso da conta por meio de um código conhecido como “JSON Web Token” (ou, simplesmente, “JWT”). Tal código é consultado pelos servidores da Apple tanto por logins com o e-mail da conta compartilhado entre os serviços (correspondente à conta do usuário), como por endereço privado de retransmissão (pense nisso como um “e-mail temporário” que a Apple criaria em seu nome apenas para aquele login).

O problema: independentemente do método utilizado (este, a critério do usuário), as assinaturas obtidas pelo JWT vinham de uma chave pública da própria Apple. O que Jain fez foi tentar atribuir um e-mail de conta da Apple a um JWT gerado por uma tentativa de login, o que, segundo ele, funcionou 100% do tempo.

Spotify é um dos muitos apps que usam o serviço de login da Apple e que poderiam ser afetados pelo bug (Imagem: Divulgação/Spotify)

Dado o fato de que muitos serviços famosos utilizam o “Sign In With Apple” — estamos falando aí de nomes como Dropbox, Spotify, GitHub, Airbnb, Giphy, entre outros —, pode-se perceber que o potencial para danos seria imenso.

Jain comunicou, há alguns meses, o problema para a Apple, relatando seus testes e descobertas. A empresa verificou a autenticidade do material e fechou a vulnerabilidade, pagando a recompensa de US$ 100 mil ao desenvolvedor em seguida.

Ainda segundo Jain, a Apple promoveu uma investigação interna em seus logs de segurança e concluiu que nenhuma conta foi invadida por causa dessa falha.

Fonte: Bhavuk Jain

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.