in

La faille «Connectez-vous avec Apple» permet aux attaquants de reprendre les comptes

« Se connecter avec Apple » est potentiellement plus privé que les autres options de connexion, mais il comportait apparemment une grave faille de sécurité. Le chercheur Bhavuk Jain a récemment reçu une prime de bogue de 100 000 $ pour avoir découvert (via Hacker News) une faille dans le service de connexion lorsqu’il était disponible via des applications tierces. Si une application ne disposait pas de ses propres mesures de sécurité, un attaquant pourrait forger un jeton lié à n’importe quel identifiant de messagerie et le vérifier comme «valide» à l’aide de la clé publique d’Apple. Cela pourrait permettre une «prise de contrôle complète du compte» même si vous avez choisi de cacher votre courrier électronique à d’autres services, a déclaré Jain.

Jain a trouvé la faille en avril, et elle est déjà corrigée. Apple a déclaré qu’il n’y avait aucune preuve de compromission de comptes en raison de la faille.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.