Já pensou em ganhar US$ 100 mil por encontrar uma falha de segurança

Já pensou em ganhar US$ 100 mil por encontrar uma falha de segurança

O programador e pesquisador indiano Bhavuk Jain fez o inimaginável para muitos, encontrou uma falha de segurança da Apple que sempre está em busca da perfeição. Então por esta descoberta incrível ele faturou na menos que US$ 100 mil como recompensa por ter relatado uma vulnerabilidade.

A vulnerabilidade foi no sistema ‘Iniciar sessão com a Apple’. Já corrigida a vulnerabilidade permitia que a autenticação das contas em serviços e aplicativos de terceiros fosse ignorada.

Em entrevista ao The Hacker News, Bhavuk contou que a falha acontecia na forma como a Apple validava um usuário antes de solicitar a autenticação da empresa. O serviço, lançado na conferência WWDC em 2019, solicita ao servidor um JWT (JSON Web Token) com informações que validam a identidade do usuário.

A descoberta revela que, apesar de solicitar o login do usuário, a Apple não validava se era a mesma pessoa solicitando o JWT durante a autenticação do servidor. Assim, um invasor poderia assumir contas que foram registradas usando o serviço.

segurança
Pesquisador mostra esquema de falha em serviço de login da Apple
Fonte: The Hacker News/Reprodução

Segundo Bhavuk, era possível solicitar JWTs “para qualquer ID da Apple” e, depois da assinatura dos tokens ser verificada “usando a chave pública da Apple”, os acessos eram válidos.

“Isso significa que um invasor pode forjar um JWT vinculando qualquer ID de e-mail e obter acesso a conta da vítima”, disse ele.

O relato feito pelo pesquisador sobre a vulnerabilidade a equipe de segurança da Apple foi em maio que também as pressas foi corrigida. Além de dar uma recompensa, a Apple disse que uma investigação nos logs dos seus servidores confirmou que a falha não foi explorada e que nenhuma conta foi comprometida.

Fonte: The Hacker News

Faça já parte da família Itecnewsacesse e conheça nossa pagina no Facebook e Instagram, interaja conosco em nossas redes sociais e tenha acesso as melhores novidades tecnológicas do mundo.

1036
Deixe seu comentário