Apple: une faille dans la fonctionnalité de connexion tiers

Un chercheur a récemment découvert une vulnérabilité critique d’Apple qui, si elle était exploitée, pourrait permettre à des attaquants distants d’abuser de la fonctionnalité «Se connecter avec Apple» pour prendre le contrôle des comptes d’applications tierces des victimes. Le chercheur en sécurité, Bhavuk Jain, a signalé la faille à Apple via son programme de bug bounty et a reçu 100 000 $ pour la découverte.

La faille provient de la fonctionnalité «Se connecter avec Apple», qui a été introduite par Apple lors de sa conférence mondiale de développeurs l’année dernière. Cette fonctionnalité a été mise en place pour faciliter et sécuriser la connexion des utilisateurs aux applications et sites Web tiers. Il fait cela en mettant en œuvre un système d’authentification supporté par Apple pour remplacer les connexions avec les réseaux sociaux sur les services tiers.

“Au mois d’Avril, j’ai trouvé une faille zéro-day dans la connexion avec Apple qui a affecté les applications tierces qui l’utilisaient sans avoir implémenté leurs propres mesures de sécurité supplémentaires”, a déclaré Jain, dans sa divulgation de la vulnérabilité. “Cette faille aurait pu entraîner une prise de contrôle complète des comptes d’utilisateurs sur cette application tierce, qu’une victime ait ou non un identifiant Apple valide.”

Le géant américain a déjà corrigé la faille.

apple id

L’un des points forts de la fonctionnalité est que les utilisateurs peuvent s’inscrire auprès de services tiers sans avoir à divulguer leur adresse e-mail d’identifiant Apple à ces services. Cela a fonctionné car la fonctionnalité validait d’abord les utilisateurs côté client, puis lancait une requête JSON Web Token (JWT) depuis les services d’authentification d’Apple. Ce JWT serait ensuite utilisé par l’application tierce pour confirmer l’identité de l’utilisateur.

Le problème était qu’après la validation de l’utilisateur côté client via son adresse e-mail d’identification Apple, il n’y avait pas de vérification prouvant que la requête JWT provenait vraiment de ce compte d’utilisateur. Un pirate pourrait abuser de cette faille en fournissant un e-mail d’identification Apple qui appartient à la victime et en incitant les serveurs à générer une charge utile (payload) JWT valide. Une fois qu’un hacker fait cela, il peut alors se connecter à une application tierce en utilisant l’identité de la victime.

apple

“J’ai découvert que je pouvais demander des JWT pour n’importe quel identifiant de messagerie auprès d’Apple et lorsque la signature de ces jetons a été vérifiée à l’aide de la clé publique, ils se sont révélés valides”, a-t-il déclaré. «Cela signifie qu’un attaquant pourrait forger un JWT en lui associant n’importe quel identifiant de messagerie Apple et en accédant au compte de la victime.»

Selon The Hacker News, la faille pourrait être exploitée même si les utilisateurs avaient décidé de cacher leurs identifiants de messagerie à des services tiers. Elle pourrait également être exploitée pour ouvrir de nouveaux comptes avec les identifiants des victimes.

Il y a deux obligations pour que cet exploit fonctionne. Tout d’abord, les pirates auront besoin d’un identifiant de messagerie d’un utilisateur, bien qu’il puisse s’agir de n’importe quel identifiant de messagerie . Deuxièmement, ils devraient se connecter à une application tierce via la fonctionnalité “Se Connecter avec Apple” qui ne nécessitait aucune mesure de sécurité supplémentaire.

Jain a déclaré que l’impact de cette vulnérabilité est «assez critique» car elle pourrait permettre une prise de contrôle complète du compte. De nombreux développeurs ont intégré cette fonctionnalité dans leurs services, notamment Dropbox, Spotify, Airbnb et Giphy.

“Ces applications n’ont pas été testées mais auraient pu être vulnérables à une prise de contrôle complète du compte s’il n’y avait pas d’autres mesures de sécurité en place lors de la vérification d’un utilisateur”, a déclaré Jain.

Jain a déclaré que le géant américain avait mené une enquête sur leurs logs et déterminé qu’il n’y avait pas eu d’abus ou de compromission de compte en raison de cette vulnérabilité. Le chercheur a découvert la faille en Avril et l’a signalée via le programme bug bounty d’Apple qui lui a rapporté 100 000 $.

Le programme bug bounty d’Apple

En Décembre 2019, Apple a ouvert son programme bug bounty au public(il était privé auparavant). Une autre faille récemment révélée en Avril a permis à un chasseur de bugs de gagné 75 000 $ après avoir trouvé des failles dans Safari qui pourraient être exploitées pour espionner les iPhones, iPads et ordinateurs Mac à l’aide de leurs microphones et caméras.

Si cet article vous a plu, jetez un œil à notre article précédent.