LA NOUVELLE VULNÉRABILITÉ D’APPLE PEUT ACCORDER AUX HACKERS UN CONTRÔLE TOTAL SUR LES COMPTES

Posté le juin 8, 2020 à 16:24

LA NOUVELLE VULNÉRABILITÉ D’APPLE PEUT ACCORDER AUX HACKERS UN CONTRÔLE TOTAL SUR LES COMPTES

Un rapport récent a révélé que les hackers peuvent obtenir le contrôle total du compte complet d’un utilisateur en exploitant une vulnérabilité d’Apple iOS connue sous le nom de « Sign In With Apple ».

Selon le rapport du site de nouvelles ScreenRant, le nouveau bug était apparu dans le système de vérification d’Apple, et les hackers peuvent l’utiliser pour lancer des attaques de logiciels malveillants sur les utilisateurs.

La vulnérabilité « Sign In With Apple » peut entraîner d’éventuels actes malveillants lorsque des personnes non autorisées accèdent aux applications tierces, car il n’existe aucune forme de protection des informations de l’utilisateur.

Apple n’est pas aussi sécurisé que prévu

Le nouveau bug ayant été découvert, le système d’exploitation iOS sera plus sécurisé qu’auparavant. Mais cela montre aussi que la sécurité d’Apple n’est pas aussi forte qu’on pourrait le croire. Beaucoup d’utilisateurs penseraient que la sécurité d’une entreprise axée sur la technologie comme Apple serait une véritable forteresse et impénétrable. Mais l’entreprise a prouvé que les gens avaient tort avec les nombreuses vulnérabilités découvertes récemment sur la plateforme.

De nombreuses personnes perçoivent les produits et services d’Apple comme une option plus sécurisée que les autres appareils Android. Bien que cette nouvelle vulnérabilité ait été découverte dans un environnement contrôlé, cela n’enlève rien au fait qu’Apple n’est pas novice en matière de scénarios de sécurité médiocres. Plusieurs vulnérabilités ont été signalées, et elles se sont produites fréquemment ces derniers temps.

Le rapport a révélé que l’Apple ID de l’utilisateur pouvait être utilisé par les attaquants pour accéder à leurs informations de connexion. Lorsque l’accès est accordé, il pourrait entraîner des actes malveillants, mettant en danger les données personnelles, les emails et les informations bancaires.

La nouvelle vulnérabilité d’Apple utilise un service de vérification

Le Hacker News a récemment rapporté qu’Apple a dû verser 100 000 dollars de prime à Bhavuk Jain, un chercheur indien spécialisé dans les bugs, après qu’il ait découvert un bug très critique qui affectait le système iOS « Sign In With Apple ».

La vulnérabilité « Sign In With Apple » a été utilisée pour enregistrer des comptes d’utilisateurs sur des applications et des services tiers. Aujourd’hui, ce service est la cible principale des hackers, car il peut facilement donner accès aux hackers en permettant une authentification à distance.

Selon ScreenRant, la vulnérabilité a même été découverte lorsque les hackers ont accédé aux informations via l’identification de l’utilisateur. Lorsque l’utilisateur clique sur le bouton « Se connecter avec Apple », un jeton Web JSON (JWT) est automatiquement envoyé, accordant l’autorisation. Ensuite, l’entreprise envoie une requête demandant les informations de connexion de l’utilisateur.

La vulnérabilité a été corrigée

Le rapport a révélé que la vulnérabilité a été corrigée. La vulnérabilité pourrait avoir donné un accès à distance pour contourner l’authentification afin de prendre en charge les comptes d’utilisateurs ciblés sur des applications et services tiers.

« Sign in With Apple » a été lancé lors de la conférence WWDC d’Apple l’année dernière. Lors du lancement, sa fonctionnalité a été introduite comme un système de connexion de protection de la vie privée permettant aux utilisateurs de s’inscrire facilement à un compte à l’aide d’applications tierces sans révéler leur adresse e-mail.

Dans une récente interview, Bhavuk Jain a déclaré que la vulnérabilité qu’il a trouvée provenait de la manière dont Apple authentifiait un utilisateur côté client avant d’accepter une demande des serveurs d’authentification de la plateforme.

Une vulnérabilité très critique

Bhavuk a découvert que même si Apple demande aux utilisateurs de se connecter à leur compte Apple avant d’accéder à leur demande, elle ne valide pas si le même utilisateur demande un JWT au serveur d’authentification.

Par conséquent, un attaquant pouvait envoyer un identifiant Apple différent appartenant à la victime, trompant les serveurs Apple pour générer une charge utile JWT qui était légitime pour accéder à un service tiers en utilisant l’identité de l’utilisateur.

Il a également déclaré que la vulnérabilité est très grave car elle peut permettre à l’attaquant de prendre le contrôle total du compte de la victime. « L’impact de cette vulnérabilité était assez critique car elle aurait pu permettre une prise de contrôle complète du compte », a-t-il déclaré.

Le chercheur a également déclaré que la vulnérabilité existe toujours même si l’attaquant cache son adresse e-mail à des services tiers, qu’il peut exploiter pour ouvrir un nouveau compte en utilisant l’Apple ID de l’utilisateur.

Summary
LA NOUVELLE VULNÉRABILITÉ D'APPLE PEUT ACCORDER AUX HACKERS UN CONTRÔLE TOTAL SUR LES COMPTES
Article Name
LA NOUVELLE VULNÉRABILITÉ D'APPLE PEUT ACCORDER AUX HACKERS UN CONTRÔLE TOTAL SUR LES COMPTES
Description
Un rapport récent a révélé que les hackers peuvent obtenir le contrôle total du compte complet d'un utilisateur en exploitant une vulnérabilité d'Apple iOS connue sous le nom de "Sign In With Apple".
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading