Bhavuk Jain l’annonçait il y a une dizaine de jours sur son Twitter : il avait trouvé une faille à 100 000 $.
https://twitter.com/bhavukjain1/status/1264398447718744065?ref_src=twsrc%5Etfw » rel= »nofollow
Sa découverte lui a effectivement valu cette récompense, de la part d’Apple.
Le montant est à la hauteur du risque que posait la vulnérabilité.
Elle permettait en l’occurrence de détourner le dispositif d’authentification « Se connecter avec Apple ». Et de cibler les applications qui en dépendent, afin de prendre la main sur des comptes d’utilisateurs. Le tout en connaissant simplement l’adresse e-mail associée.
Dans les grandes lignes, « Se connecter avec Apple » repose sur des jetons créés à partir d’une adresse e-mail.
Il s’agit de celle de l’utilisateur s’il accepte de la communiquer à l’application à laquelle il souhaite se connecte. Sinon, Apple en crée une.
L’authentification repose sur des jetons générés à partir d’une adresse e-mail. Il s’agit de celle de l’utilisateur s’il accepte de la communiquer à l’application à laquelle il souhaite se connecter. Sinon, une adresse « relais » est créée.
Bhavuk Jain s’est aperçu qu’il pouvait demander la création d’un jeton pour toute adresse e-mail, associée ou non à un identifiant Apple. Et qu’à la vérification côté serveur, tous ces jetons étaient considérés comme valides.
Apple affirme ne pas avoir constaté d’exploitation de cette faille. Ses équipes ont tout de même avoir identifié des risques d’accès indésirables à iCloud, d’où la récompense accordée.
Certaines applications tierces ayant implémenté des mesures de sécurité supplémentaires étaient immunisées. Dropbox semble être dans ce cas.
Illustration principale © wk1003mike – shutterstock.com
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…