Une faille majeure dans "Sign in with Apple" comblée
La fonction "Connexion avec Apple" permet aux utilisateurs d'utiliser leur compte iCloud pour se connecter à des applications tierces si leurs éditeurs ont exploité les APIs mises en place par Apple. On a des choses équivalentes chez Google ou Facebook.
Un hacker rapporte qu'Apple lui a versé 100 000$ pour avoir découvert une faille 0-day permettant d'outrepasser toutes les sécurités de ce système et de se connecter aux applications tierces sans connaître les identifiants iCloud de la cible.
Une faille majeure permettait en effet de demander aux serveurs Apple un jeton d'authentification valable pour n'importe quel identifiant iCloud sans en connaître le mot de passe. Ce jeton pouvait ensuite être injecté dans les applications tierces utilisant l'API sans autre forme de sécurité pour s'y connecter.
La faille était donc bien majeure et l'on ignore si elle a été exploitée avant sa découverte par ce hacker blanc, et exploitée activement.