Novo bug da Apple permite que hackers obtenham controle de conta

Vulnerabilidade de ‘entrar com a Apple’ do iOS pode levar a atos maliciosos

Os hackers estão usando a nova vulnerabilidade iOS da Apple chamada “Sign In With Apple” para obter o controle total da conta do usuário. De acordo com o último relatório do ScreenRant, os usuários do iOS estão expostos a possíveis hackers por causa do novo bug no serviço de verificação da Apple.

Um novo bug no recurso “Entrar com a Apple” pode levar a possíveis atos maliciosos quando acessado por aplicativos de terceiros, pois as informações do usuário são deixadas desprotegidas.

A descoberta do novo bug ajudará a tornar o sistema operacional iOS ainda mais seguro do que antes, embora destaque como a segurança da Apple não é tão hermética quanto alguns podem esperar.

O relatório afirmou que a percepção dos dispositivos inteligentes da Apple mostra que é uma opção mais segura em comparação com outros produtos ou serviços Android. Embora o novo bug tenha sido descoberto em um ambiente controlado, a Apple não é nova em cenários de segurança inadequados.

Apple's New Bug Uses User Verification Service to Gain Account Control

Nesse caso, o problema foi encontrado no sistema de verificação. Ele mostrou que o Apple ID do usuário poderia conceder aos invasores cibernéticos acesso às suas informações de login, o que pode levar a atos maliciosos. Isso poderia colocar em risco informações bancárias, emails e detalhes pessoais.

De acordo com o relatório anterior do The Hacker News, a Apple pagou uma enorme recompensa de US$ 100.000 a um pesquisador de vulnerabilidades indiano, Bhavuk Jain, depois que ele relatou uma vulnerabilidade altamente crítica que estava afetando o sistema “Faça login na Apple” do iOS.

As contas de usuários em aplicativos e serviços de terceiros que foram registrados usando a opção “Entrar com a Apple” são o principal alvo da vulnerabilidade agora corrigida, permitindo que os hackers ignorem a autenticação remotamente.

Segundo o ScreenRant, a descoberta da vulnerabilidade se concentrou nas informações acessadas pelos hackers através da autenticação do usuário.

Apple's New Bug Uses User Verification Service to Gain Account Control

Um JSON Web Token (JWT) é enviado quando o usuário clica na opção “Conectar-se à Apple” em um aplicativo que concede autorização, seguido por uma solicitação enviada pela empresa para obter as informações de login dos usuários.

Um ID da Apple que se disfarça como um passe para as informações de um usuário inconsciente pode explorar um código JWT.

Um hacker pode implantar o bug usando o código subjacente para obter acesso aos dados do usuário, mesmo se o usuário optar por ocultar as informações de login. O relatório afirmou que o problema foi corrigido pela Apple após ser alertado.

Embora a vulnerabilidade permaneça um problema, processos de segurança adicionais podem estar disponíveis para alguns aplicativos de terceiros.

 

Fonte: TimesTech

Traduzido e adaptado por equipe Revolução.etc.br