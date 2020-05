Sta avendo un'importante risonanza il premio che Apple ha versato nelle casse del ricercatore di sicurezza Bhavuk Jain, il quale aveva trovato un pericoloso bug di sicurezza nel sistema di login "Accedi con Apple" incluso in iOS, che a quanto pare consentiva di ottenere l'accesso all'account.

Secondo quanto riferito, sfruttando la falla un utente malintenzionato era in grado di falsificare il token collegato all'ID e verificarlo, e quindi di ottenere il JSON Web Token (JWT), senza passare attraverso il processo di validazione che utilizzala chiave pubblica di Apple. In questo modo, a quanto pare, era anche possibile accedere ad un'app senza autorizzazioni.

I JWT sono una delle funzioni base del sistema, in quanto consentono agli utenti di scegliere cosa condividere con gli sviluppatori terzi. La feature principale e più utilizzata è quella che permette di inviare ai servizi un indirizzo email ad hoc fittizio per ogni applicazione, al fine di evitare spam o la condivisione di informazioni personali.

Jain ha riscontrato il bug ad Aprile ed ha immediatamente provveduto a segnalarlo ad Apple, che ha avuto modo di correggerlo seguendo tutti i protocolli del caso. Come ricompensa, e come previsto dal programma di Bug Bounty, il ricercatore è stato premiato con 100.000 Dollari. Tutti i dettagli sono presenti in un articolo di Hacker Journal.