Open ID vê riscos em sistema de login da Apple e pede mudanças; Entenda

Por Felipe Ribeiro | 01 de Julho de 2019 às 14h00
Apple
Tudo sobre

Apple

Saiba tudo sobre Apple

Ver mais

Outrora elogiado até por concorrentes, o sistema de login da Maçã, Sign in with Apple, parece não agradar a todos. A OpenID Foundation, uma das referências em segurança da internet, divulgou uma carta aberta ao chefe de engenharia de software da Apple, Craig Federighi, argumentando que o padrão Sign in with Apple possui falhas de segurança e pedindo mudanças ao sistema. A fundação, apesar de verificar semelhanças com o OpenID Connect (base para o sistema), não viu proteção suficiente para fins de privacidade e desenvolvimento.

Segundo o Apple Insider, embora a Apple pareça ter se inspirado descaradamente no "Connect" para a construção do Sign In, há uma série de diferenças para o programa da Open ID que expõem a Maçã e seus usuários a ameaças de privacidade e segurança. Um exemplo é a ausência do Proof Key for Code Exchange (PKCE) no tipo de concessão do Código de Autorização, que poderia nominalmente deixar as pessoas expostas a ataques.

A carta pede que a Apple use o Conjunto de Testes de Certificação Aberta do Open ID Connect, afirme que o login com a Apple é compatível com o software Relying Party e, finalmente, junte-se à OpenID Foundation.

Sign in with Apple deve ser lançado junto ao iOS 13 - Imagem: Apple

"A OpenID Foundation aplaude os esforços da Apple para permitir que seus usuários façam login em aplicativos móveis e da web de terceiros com o ID Apple usando o OpenID Connect", começa o documento da fundação, explicando que o Connect é um "protocolo de identidade moderno e amplamente adotado com base no OAuth 2.0/PKCE", que permite o login em aplicativos de outras empresas e que foi desenvolvido por um grande número de companhias e especialistas do setor dentro da própria Open ID.

O teste dessa ferramenta da Apple começará no final deste verão antes da janela de lançamento do iOS 13. A tecnologia pretende ser uma alternativa mais focada em privacidade para os botões de login de nomes como Facebook, Google e Twitter, mas a Apple tem sido criticada por tornar o suporte obrigatório se essas opções de terceiros estiverem presentes.

Fonte: Apple Insider

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.