CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

02/06/2020

Zero-day en el servei d'autenticació "Sign in with Apple"

S'ha descobert una vulnerabilitat en el servei d'autenticació d'Apple que permet prendre el control dels comptes en els serveis i aplicacions web que implementen aquest servei.

Risc: Crític

L'investigador de seguretat va descobrir que podia sol·licitar un token JWT per a qualsevol correu electrònic ID d'Apple i aquests es validaven amb la clau pública d'Apple.

Això significa que un atacant podria construir un token vàlid utilitzant el correu de la víctima i accedir al seu compte.

Més informació en el sigüent enllaç.

Sistemes Afectats:

Dispositius que hagen fet ús de servei d'autenticació d'Apple: "Sign in with Apple"

Referències:

None

Solució:None Notes: None
Font: Hispasec - Una al día

CSIRT-CV