Un hombre de Nueva Delhi, India, recibió un regalo especial de Apple. Bhawuk Jain, un desarrollador de 27 años, fue recompensado con un premio de alrededor de 1500 millones de rupias por encontrar con éxito el error Zero Day en las aplicaciones de Apple. El agujero de seguridad que encontró en una aplicación de registro de miembros que está conectada a una cuenta de Apple.
Más tarde, el error se denominó Zero Day y ahora ha sido corregido por la seguridad cibernética de Apple. La falla de seguridad es bastante fatal, ya que permite que los delincuentes puedan apoderarse de la cuenta de Apple de alguien, que está conectada a través de aplicaciones de terceros como Dropbox, Spotify, AirBnB, etc.
Jain, que tiene una licenciatura en electrónica y telecomunicaciones, descubrió el error Zero Day en la función “Iniciar sesión con Apple” de varias aplicaciones de terceros conectadas. Además, en ese error no hay absolutamente ninguna garantía de características de seguridad. Para que la gente mala pueda apoderarse de las cuentas de Apple, sin tener que saber en absoluto la identidad del propietario de la cuenta.
El propio Bhawuk Jain es actualmente un desarrollador que está muy interesado en buscar errores en aplicaciones móviles conocidas. Espera hacer de Internet un lugar seguro para muchos usuarios.
La función Iniciar sesión con Apple en sí misma es una función de autenticación que conecta las cuentas de Apple con una serie de aplicaciones de terceros para facilitar el proceso de registro de miembros. Esta característica aún es bastante joven, ya que solo se lanzó en 2019.
Canta con Apple Hacked
Cómo podría aparecer el error de día cero
Jain explicó que la función Iniciar sesión con Apple funciona exactamente como ‘OAuth 2.0’. Hay dos formas que permiten a los usuarios autenticarse, a saber, utilizando un Json Web Token (JWT) o un código generado automáticamente por los servidores de Apple.
Durante el proceso de autenticación, Apple ofrece a los usuarios la opción de compartir o no su correo electrónico de ID de Apple con aplicaciones de terceros. Si el usuario elige no usar, entonces Apple proporcionará un código encriptado.
Además, cuando se complete el proceso de autenticación, Apple generará un JWT que contenga el correo electrónico de Apple y luego lo convertirá en un token validado por la clave pública de Apple. Si el proceso de validación es exitoso, entonces el proceso de autenticación se declarará válido.
De ahí es de donde puede venir el error de Zero Day. Los atacantes pueden falsificar JWT con cualquier correo electrónico y pueden iniciar sesión en la cuenta de la víctima. Por supuesto, este error es realmente crucial, porque muchos desarrolladores de aplicaciones han utilizado la función Iniciar sesión con Apple para admitir su función de inicio de sesión social. [br/tn]
