Un fallo en el sistema de 'Iniciar sesión con Apple' en las aplicaciones y servicios de terceros que no tenían implementado un sistema de seguridad adicional pudo permitir que los 'hackers' se hicieran con el control de una cuenta de usuario.
El fallo de seguridad fue descubierto en abril por el investigador Bhavuk Jain, quien informó a la compañía tecnológica de una vulnerabilidad de tipo 'día cero' que ya ha sido corregida. Por este descubrimiento, Apple, a través de su programa de recompensas le ha pagado 100.000 dólares.
En concreto, se trata de un fallo localizado en el sistema 'Iniciar sesión con Apple', que permite a los usuarios acceder a aplicaciones y webs terceras con su ID de Apple. Este sistema permite al usuario ocultar su correo electrónico, si no quiere poner el suyo, lo que hace que se genere un 'email' aleatorio y exclusivo que redirige al correo personal.
Jain descubrió que en aquellos sitios de terceros que no habían implementado medidas de seguridad adicionales, un 'hacker' podía crear un 'token' vinculado a cualquier email ID, que sería válido con la llave pública de Apple. De esta forma, podía hacerse con el control de una cuenta, lo que convertía a este fallo en crítico.
El investigador ha señalado en su publicación que Apple investigó la situación y determinó que no había identificado un mal uso de este fallo ni cuentas que hubieran sido comprometidas.
