Accedi con Apple: bug hunting da 100 mila dollari
© DepositphotosLa Casa di Cupertino ha deciso di mettere in palio 100 mila dollari come premio per coloro che riusciranno a scovare dei bug nel sistema di autenticazione "Accedi con Apple" che consente di loggarsi in servizi di terze parti tramite il proprio account Apple. La campagna di bug hunting prende il via dopo la recente scoperta di una vulnerabilità che permetteva di trafugare identità altrui.
Tale problematica sarebbe emersa in seguito alle ricerche condotte dal giovane informatico indiano Bhavuk Jain, i test effettuati da quest'ultimo avrebbero rivelato infatti l'esistenza di una procedura grazie alla quale richiedere al server un JWT (JSON Web Token) associato a un Email ID per poi sfruttarlo ai fini del riconoscimento.
"Accedi con Apple" viene proposto come sistema alternativo a quelli proposti da vari social network (come ad esempio Facebook e LinkedIn) e piattaforme come Google, tra i vantaggi del suo utilizzo vi è il fatto che la Mela Morsicata non partecipa attivamente al "mercato dei dati" e ciò dovrebbe rappresetare una maggiore garanzia per la privacy.
Il servizio viene impiegato da diverse piattaforme ampiamente utilizzate come per esempio AirBnB, Spotify e Dropbox nonché da migliaia di applicazioni e siti Internet, l'individuazione e l'utilizzo per scopi malevoli di ulteriori criticità potrebbe danneggiarne la reputazione e per evitare questa eventualità Apple ha deciso di rendere il debugging monetizzabile.
Lo stesso Bhavuk Jain avrebbe già guadagnato un premio in denaro per i propri sforzi opportunamente documentati tra le pagine di The Hacker News, Cupertino ha comunque reso noto che la vulnerabilità da lui individuata non sarebbe stata mai utilizzata per effettuare attacchi contro i server del gruppo e sottrarre credenziali di altri utenti.
