Une faille majeure dans "Sign in with Apple" comblée, Réactions à la publication du 01/06/2020 |
Bienvenue invité ( Connexion | Inscription )
Une faille majeure dans "Sign in with Apple" comblée, Réactions à la publication du 01/06/2020 |
1 Jun 2020, 08:55
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 342 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
La fonction "Connexion avec Apple" permet aux utilisateurs d'utiliser leur compte iCloud pour se connecter à des applications tierces si leurs éditeurs ont exploité les APIs mises en place par Apple. On a des choses équivalentes chez Google ou Facebook.
Un hacker rapporte qu'Apple lui a versé 100 000$ pour avoir découvert une faille 0-day permettant d'outrepasser toutes les sécurités de ce système et de se connecter aux applications tierces sans connaître les identifiants iCloud de la cible. Une faille majeure permettait en effet de demander aux serveurs Apple un jeton d'authentification valable pour n'importe quel identifiant iCloud sans en connaître le mot de passe. Ce jeton pouvait ensuite être injecté dans les applications tierces utilisant l'API sans autre forme de sécurité pour s'y connecter. La faille était donc bien majeure et l'on ignore si elle a été exploitée avant sa découverte par ce hacker blanc, et exploitée activement. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
Nous sommes le : 24th April 2024 - 20:38 |