Un especialista indio de ciberseguridad encontró una vulnerabilidad en el sistema de autorización de inicio de sesión de Apple, y el hallazgo que reportó a la firma estadounidense derivó en una recompensa de 100 mil dólares por parte de la marca de la manzana.

Esa vulnerabilidad permitía a potenciales atacantes obtener acceso a cuentas de usuario si estos accedían a sitios de terceros utilizando su cuenta de Apple, y la ubicó Bhavuk Jain

En el proceso de autenticación del usuario a través de la función ‘Iniciar sesión con Apple’, lanzada el año pasado, se genera una clave JSON Web Token, que contiene información confidencial que una aplicación de terceros utiliza para verificar la identidad del usuario.

Jain expresó que la compañía no comprobaba si era el mismo usuario el que estaba solicitando esta clave, y precisó en su página web que “esto significa que un atacante podía falsificar un JWT al vincular cualquier ID de correo electrónico y obtener acceso a la cuenta de la víctima”.

El especialista indio descubrió la vulnerabilidad en abril y contactó con Apple, que le pagó los 100 mil dólares.

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here