Bhavuk Jain l’annonçait il y a une dizaine de jours sur son Twitter : il avait trouvé une faille à 100 000 $.
https://twitter.com/bhavukjain1/status/1264398447718744065?ref_src=twsrc%5Etfw » rel= »nofollow
Sa découverte lui a effectivement valu cette récompense, de la part d’Apple.
Le montant est à la hauteur du risque que posait la vulnérabilité.
Elle permettait en l’occurrence de détourner le dispositif d’authentification « Se connecter avec Apple ». Et de cibler les applications qui en dépendent, afin de prendre la main sur des comptes d’utilisateurs. Le tout en connaissant simplement l’adresse e-mail associée.
Dans les grandes lignes, « Se connecter avec Apple » repose sur des jetons créés à partir d’une adresse e-mail.
Il s’agit de celle de l’utilisateur s’il accepte de la communiquer à l’application à laquelle il souhaite se connecte. Sinon, Apple en crée une.
L’authentification repose sur des jetons générés à partir d’une adresse e-mail. Il s’agit de celle de l’utilisateur s’il accepte de la communiquer à l’application à laquelle il souhaite se connecter. Sinon, une adresse « relais » est créée.
Bhavuk Jain s’est aperçu qu’il pouvait demander la création d’un jeton pour toute adresse e-mail, associée ou non à un identifiant Apple. Et qu’à la vérification côté serveur, tous ces jetons étaient considérés comme valides.
Apple affirme ne pas avoir constaté d’exploitation de cette faille. Ses équipes ont tout de même avoir identifié des risques d’accès indésirables à iCloud, d’où la récompense accordée.
Certaines applications tierces ayant implémenté des mesures de sécurité supplémentaires étaient immunisées. Dropbox semble être dans ce cas.
Illustration principale © wk1003mike – shutterstock.com
Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…
Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…
Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…
Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…
Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…
D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).