Vulnerabilidade afetava serviços integrados com Apple ID, mas risco ao iCloud e serviços da própria Apple não foi confirmado. Serviço de ‘login único’ do ID Apple tinha falha na geração dos códigos de autorização. Apple recompensou caçador de falhas com US$ 100 mil pela descoberta.
Thomas Peter/Reuters
O pesquisador de segurança Bhavuk Jain recebeu uma recompensa de US$ 100 mil (cerca de R$ 520 mil) da Apple após relatar uma brecha que poderia permitir uma violação dos controles de acesso em serviços com suporte ao Apple ID.
Apple lança sistema de registro em aplicativos e sites
A falha, que já foi corrigida, permitia gerar uma credencial de acesso falsa para qualquer serviço compatível com o botão “inicie sessão com a Apple”. Esse recurso dispensa o cadastramento de uma senha específica para cada aplicativo, então a única barreira é a autorização da própria Apple.
Como a vulnerabilidade estava presente na geração dos chamados “tokens de acesso”, os serviços da própria Apple, que usam a senha do ID Apple e não o token, tecnicamente não estariam vulneráveis. No entanto, há casos em que serviços de uma mesma empresa utilizam tokens internamente para facilitar a integração entre os diferentes aplicativos e sistemas. Embora a possibilidade exista, isso não foi confirmado nos serviços da Apple.
Jain relatou a vulnerabilidade diretamente à Apple em abril. O contato foi realizado por meio de um canal dedicado ao recebimento de detalhes sobre falhas de segurança e nenhuma informação sobre a brecha foi publicada antes de ela ser corrigida.
Segundo o pesquisador, a Apple realizou uma investigação interna e não encontrou qualquer evidência de que hackers tenham explorado essa falha para obter acesso indevido a qualquer serviço.
Apesar de nenhum usuário ter sido atacado, o risco era alto. O valor pago pela descoberta – US$ 100 mil – é considerado elevado para os programas que recompensam caçadores de falhas. O Facebook, por exemplo, nunca pagou mais do que US$ 50 mil. O programa da Apple prevê recompensas de até US$ 1,5 milhão, mas apenas para brechas graves que impactam os sistemas operacionais da companhia.
Empresa que compra brechas de software diz que vai parar de aceitar falhas no iPhone por ‘oferta elevada’
Como funciona o acesso via token
Serviços de “login único”, que são fornecidos por empresas como Apple, Facebook, Twitter, Google e Microsoft, dispensam a criação de cadastros individuais nos serviços e aplicativos compatíveis. Com o login único, não é preciso lembrar de senhas diferentes e nem realizar a validação do endereço de e-mail, que já terá sido conferido pelo prestador do serviço.
O login único não compartilha a senha do usuário com os serviços e aplicativos com os quais eles são integrados – por exemplo, fazendo um login em um aplicativo com sua conta Google, o Google não compartilha sua senha com esse aplicativo. Em vez disso, o app recebe um “token” (código de autorização) que relaciona o acesso ao usuário (conta) que o solicitou.
Para validar esse código de autorização, o aplicativo ou serviço deve consultar o serviço de login único. Caso o código seja legítimo, o acesso é liberado em nome daquele usuário.
O que Jain descobriu é que a Apple gerava códigos de autorização para qualquer ID Apple, mesmo que a sessão iniciada não correspondesse ao e-mail solicitado para o código de autorização. Na prática, um atacante poderia gerar códigos de autorização para qualquer pessoa, autorizando acessos de outros usuários.
Não se sabe ao certo como cada serviço compatível reagiria a esse cenário, porque isso não foi testado. Mas é muito provável que a sessão seria iniciada em nome do usuário correspondente ao código de autorização, permitindo a invasão das contas.
Botões para ativar serviços de login único em um gerenciador de redes sociais: usuário pode iniciar a sessão usando Twitter, Facebook, Google ou Apple.
Reprodução
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Comentar