CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

02/06/2020

Zero-day en el servicio de autenticación "Sign in with Apple"

Se ha descubierto una vulnerabilidad en el servicio de autenticación de Apple que permite tomar el control de las cuentas en los servicios y aplicaciones web que implementan dicho servicio.

Riesgo: Crítico

Un investigador de seguridad descubrió que podía solicitar un token JWT para cualquier Email ID de Apple y éstos se validaban con la clave pública de Apple.

Esto significa que un atacante podría construir un token válido utilizando el email de la víctima y acceder a su cuenta.

Más información en el siguiente enlace.

Sistemas Afectados:

Dispositivos que hagn uso de servicio de autenticación de Apple: "Sign in with Apple"

Referencias:

None

Solución:None Notas: None
Fuente: Hispasec - Una al día

CSIRT-CV