100 mila dollari per un bug

Apple ha depositato 100 mila dollari sul conto corrente di un ricercatore indiano 27enne che nei mesi scorsi ha scoperto una grave vulnerabilità nel sistema di login che Cupertino ha messo a disposizione di app terze. “Accedi con Apple” poteva essere aggirato e l’identità dell’utente poteva essere trafugata, insomma, semplicemente ingannando i server Apple attraverso un’apposita azione sul client in collegamento.

Quando vedi il tasto Accedi con Apple in un’app o su un sito web aderente, significa che puoi configurare un account e accedervi utilizzando il tuo ID Apple. Anziché utilizzare l’account di un social network o compilare moduli di registrazione e scegliere una nuova password, ti basta toccare il pulsante Accedi con Apple, controllare le tue informazioni e registrarti in modo rapido e sicuro con Face ID, Touch ID o con il codice del tuo dispositivo.

Accedi con Apple: il bug da 100 mila dollari

Il ricercatore, Bhavuk Jain, ha confermato la storia a “The Hacker News”, spiegando di aver scoperto come operando lato client era possibile agire ottenendo dai server Apple un JSON Web Token (JWT) per qualsivoglia Email ID, ottenendo quindi il relativo accesso all’account vittima dell’attacco.

Una vulnerabilità ad alto impatto potenziale, insomma, la cui pericolosità poteva essere calmierata esclusivamente da sistemi di login con doppio fattore di autenticazione. Servizi come Dropbox, Spotify o AirBNB (tutti utilizzanti “Accedi con Apple”) prestavano pertanto inconsapevolmente il fianco ad un attacco remoto, mettendo a rischio l’account di milioni di utenti.

Accedi con Apple è disponibile nelle app aderenti sui dispositivi Apple con installato il software più recente (iOS 13 o versioni successive, iPadOS 13 o versioni successive, watchOS 6 o versioni successive, macOS Catalina 10.15 o versioni successive e tvOS 13 o versioni successive) e con i siti aderenti su Safari. Puoi usare Accedi con Apple anche con altri browser e su altre piattaforme, come Android o Windows.

Apple ha ampiamente remunerato Bhavuk Jain per la scoperta, ha corretto il problema ed ha verificato sui server del gruppo come nessuna violazione sia mai stata registrata fino ad oggi. Il problema è rimasto pertanto soltanto potenziale, senza ricadute sulla sicurezza degli account: una storia a lieto fine, che avrebbe però potuto rivelarsi un thriller se la vicenda avesse preso una brutta piega o se la scoperta non fosse avvenuta da parte di un ricercatore che ha seguito una via etica di segnalazione del bug.